1. #mpclinid2014 Sminaire LinID.orgSminaire LinID.org Gestion, fdration et contrle des identits 3 AVRIL 2014 WWW.LINAGORA.COM

2. 2#mpclinid2014 Sommaire Introduction (15') Prsentation des composants de LinID.org (30') Intgration du serveur Active Directory avec LinID.org (30') Pause (15') Mise en place de la fdration des identits avec le protocole SAML (45') Retour d'exprience par Olivier Guillard, AFNIC (30')

3. 3 Notre mission Avec sesAvec ses logicielslogiciels etet servicesservices,, LINAGORA permet aux grandesLINAGORA permet aux grandes organisations publiquesorganisations publiques etet privesprives de dvelopper leurde dvelopper leur indpendance technologiqueindpendance technologique

4. 4#mpclinid2014 Prsentation de LINAGORA Logiciels et services pourLogiciels et services pour russirrussir vos grands projets devos grands projets de transformationtransformation open sourceopen source Principaux clientsPrincipaux clients Edition LogicielleEdition Logicielle ServicesServices Assurance LogicielleAssurance Logicielle Messagerie Collaborative Partage de fichiers scuris Gestion et Fdration des Identits Plateforme d'intgration SOA 150 salaris Bureaux en France, Belgique, tats Unis et Canada

5. 5 Le 1er investisseur priv en R&D Open Sourceen France ! PARIS TOULOUSE LYON SOPHIA MONTPELLIER GRENOBLE 13 ingnieurs 16 1 1 2 6 +40ingnieurs R&D 1 1 +10nouveaux postes pourvoir pour le dveloppement d'OpenPaaS HAMBOURG COPENHAGEN 2,5 Md'investissement en R&D +50 ingnieurs R&D dans les 3 ans

6. 6#mpclinid2014 Modle conomique On se rmunre par : Conseil et intgration Dveloppement de fonctionnalits spcifiques Support technique 100% Free Free100% Free Free = aucunaucun cotcot de licence = rellementrellement Open Source = paspas de modle Freemium

7. 7 Signature lectronique uniquement pour .doc Signature lectronique pour tout type de document L'alternative aux logiciels propritaires existe

8. 8#mpclinid2014 Sommaire Introduction (15') Prsentation des composants de LinID.org (30') Intgration du serveur Active Directory avec LinID.org (30') Pause (15') Mise en place de la fdration des identits avec le protocole SAML (45') Retour d'exprience par Olivier Guillard, AFNIC (30')

9. #mpclinid2014 Prsentation desPrsentation des composants de LinIDcomposants de LinID

10. 10#mpclinid2014 Des logiciels libres de gestion des identits LinID est un ensemble de logiciels libres destins fournir une solution complte de gestion des identits et des accs: LinID Directory Server: annuaire rfrentiel d'identits LinID Directory Manager: interface de publication et de gestion LinID Access & Federation Manager: SSO, contrle d'accs et fdration des identits LinID Provisioning Manager: synchronisation des identits entre les rfrentiels du SI

11. 11#mpclinid2014 Des composants complmentaires et intgrs Rfrentiel desRfrentiel des identitsidentits DirectoryDirectory ServerServer SourcesSources d'identitsd'identits (SIRH, ...)(SIRH, ...) Identits duIdentits du systmesystme d'informationd'information ProvisioningProvisioning ManagerManager Applications duApplications du systmesystme d'informationd'information Applications CloudApplications CloudApplications CloudApplications Cloud ConsoleConsole d'administrationd'administration OpenLDAPOpenLDAP ManagerManager Interface de gestionInterface de gestion DirectoryDirectory ManagerManager SSO, contrle d'accs, fdrationSSO, contrle d'accs, fdration d'identitsd'identits FederationFederation & Access& Access ManagerManager

12. 12#mpclinid2014 Directory Server

13. 13#mpclinid2014 LinID Directory Server Annuaire de rfrence: OpenLDAP Paquetages RPMs et Debian des dernires versions Utilitaire de sauvegarde/restauration des donnes et de la configuration Console d'administration: LinID OpenLDAP Manager Greffons de supervision Nagios/Centreon/Cacti

14. 14#mpclinid2014 L'annuaire le plus performant du march Tests de charge en lecture raliss en 2013: Source: http://fr.slideshare.net/ldapcon/benchmarks-on-ldap-directories

15. 15#mpclinid2014 Respect des standards et richesse fonctionnelle OpenLDAP est l'implmentation de rfrence des RFC IETF sur le protocole LDAP Un systme de greffons permet l'activation de nombreuses fonctionnalits: Intgrit rfrentielle Unicit globale Groupes dynamiques Politique des mots de passe Pagination et VLV Attributs collectifs Service dynamiques Gestion de l'attribut memberOf

16. 16#mpclinid2014 OpenLDAP Manager

17. 17#mpclinid2014 LinID OpenLDAP Manager Console Web de gestion de la configuration OpenLDAP (depuis la version 2.3) Gestion des backends et des overlays Gestion du schma Dtection dynamique des modules compils et de la version Possibilit d'administrer plusieurs serveurs depuis une interface unique

18. 18#mpclinid2014 Gestion des connexions

19. 19#mpclinid2014 dition du schma

20. 20#mpclinid2014 Directory Manager

21. 21#mpclinid2014 LinID Directory Manager Framework J2EE haut niveau pour cration d'interfaces de gestion d'annuaires LDAP Fonctionnalits: Pages blanches, pages jaunes Formulaire de cration, mise jour et suppression Dlgation Recherches multicritres Navigation par arbre Gestion des photos Organigrammes Adaptabilit dynamique au schma de donnes et aux contrles d'accs

22. 22#mpclinid2014 Formulaire de recherche

23. 23#mpclinid2014 Consultation d'une fiche

24. 24#mpclinid2014 Gestion de la photo

25. 25#mpclinid2014 Arbre de navigation

26. 26#mpclinid2014 Arbre de navigation

27. 27#mpclinid2014 Personnalisation graphique

28. 28#mpclinid2014 Access & Federation Manager

29. 29#mpclinid2014 LinID Access Manager Produit de WebSSO et contrle d'accs (LemonLDAP::NG) Modules d'authentificationLDAP, SQL, CAS, Kerberos, OpenID, SAML, SSL, OTP (Yubikey), etc. Intgration directe SiteMinder, Apache htaccess, HTTP Basic, Tomcat Rejeu de formulaires Historique de connexion

30. 30#mpclinid2014 Portail d'authentification

31. 31#mpclinid2014 Liste des applications

32. 32#mpclinid2014 Personnalisation graphique

33. 33#mpclinid2014 Console d'administration

34. 34#mpclinid2014 LinID Federation Manager Extension de LinID Access Manager pour la fdration d'identit Support: Authentification et fournisseur d'identit SAML2 / Shibboleth Authentification et fournisseur d'identit OpenID Authentification et fournisseur d'identit CAS Cas d'usage Partage d'applications pour plusieurs organisations Accs des applications dans une organisation multi AD hors fort Scurisation de l'accs des applications SaaS (Google Apps) via une authentification locale (AD, certificats, token, ...) Passerelle mutli-protocoles (CAS/SAML/LDAP/OpenID/...)

35. 35#mpclinid2014 IDP SP SLO mission des requtes et rponses Mthode Authn Response Authn Request Attribute Request Request Response HTTP GET OK OK OK OK HTTP POST OK OK OK OK Artifact GET OK OK Artifact POST OK OK PAOS TODO TODO SOAP OK OK OK Rception des requtes et rponses Mthode Authn Request Authn Response Attribute Response Request Response HTTP GET OK OK OK OK OK HTTP POST OK OK OK OK OK Artifact GET OK OK OK Artifact POST OK OK OK PAOS TODO TODO TODO SOAP OK OK OK Matrice du support SAML2

36. 36#mpclinid2014 LinID Federation Manager et le Cloud

37. 37#mpclinid2014 Provisionning Manager

38. 38#mpclinid2014 LinID Provisioning Manager - PM Moteur d'approvisionnement et de synchronisation Fonctionnement : unitaire ou vnementiel Rfrentiels supports : SGBD : Oracle, MySQL, PostgreSQL, Ingres, Sybase Annuaires LDAP : Sun/Oracle DS, OpenLDAP, Active Directory, ... Fichiers : CSV, XML, LDIF, ... Autres: Google Apps, OBM, NIS, Executable Libraires avances : Active Directory Samba Extensibilit simple via Java Supervision temps rel Nagios/Centreon via JMX

39. 39#mpclinid2014 Exemples d'implmentation Synchronisation d'un annuaire d'entreprise vers des annuaires techniques Samba Synchronisation bidirectionnelle entre Active Directory et OpenLDAP, avec gestion des mots de passe Import des comptes dans un annuaire depuis une base de donnes RH Approvisionnement d'identits dans des bases de donnes d'applications

40. 40#mpclinid2014 Sommaire Introduction (15') Prsentation des composants de LinID.org (30') Intgration du serveur Active Directory avec LinID.org (30') Pause (15') Mise en place de la fdration des identits avec le protocole SAML (45') Retour d'exprience par Olivier Guillard, AFNIC (30')

41. #mpclinid2014 Intgration du serveurIntgration du serveur Active Directory avecActive Directory avec LinID.orgLinID.org

42. 42#mpclinid2014 Le serveur Active Directory

43. 43#mpclinid2014 Active Directory Active Directory est le serveur de gestion de parc de Microsoft Parmi ses services, Active Directory propose un annuaire LDAP, toutefois quelques liberts ont t prises vis--vis du standard LDAP : Chiffrement spcifique du mot de passe, pas d'export possible Limites sur le nombre d'entres retournes (page size) et le nombre de valeurs retournes par attributs (val range) Schma non standard, en particulier la classe d'objet user Priode de validit de l'ancien mot de passe mme aprs son changement Utilisation de nombreux attributs binaires Format de temps spcifique (nombre de blocs de 100 ns depuis le 1er janvier 1601)

44. 44#mpclinid2014 Synchronisation OpenLDAP AD

45. 45#mpclinid2014 Objectifs de la synchronisation Utiliser LinID Directory Server (OpenLDAP) comme rfrentiel des identits Conserver Active Directory comme composant d'infrastructure Synchroniser utilisateurs et groupes entre les annuaires Le sens d'implmentation de la synchronisation dpend du serveur grant les crations/modifications/suppressions d'utilisateur La synchronisation du mot de passe ncessite un traitement particulier

46. 46#mpclinid2014 Dmonstration Synchronisation en temps rel des utilisateurs de LinID Directory Server vers Active Directory LinID Directory Server Active DirectoryLinID Provisionning Manager

47. 47#mpclinid2014 Stratgies de synchronisation du mot de passe 1re solution: pas de synchronisation, conservation du mot de passe dans AD et utilisation de la dlgation SASL dans OpenLDAP 2me solution: modification du mot de passe sur OpenLDAP, utilisation d'un chiffrement rversible pour synchronisation vers AD 3me solution: modification du mot de passe sur AD, utilisation d'une DLL (passwdHK) pour transmettre le mot de passe OpenLDAP

48. 48#mpclinid2014 Fonctionnement de la dlgation SASL

49. 49#mpclinid2014 Utilisation d'un chiffrement rversible LinID Provisionning Manager peut utiliser le chiffrement AES Un connecteur peut tre crit pour chiffrer la vole un mot de passe en clair: En SHA pour le mot de passe standard LDAP (userPassword) EN AES rversible dans un attribut ddi Le connecteur AD peut ensuite utiliser l'attribut ddi pour dchiffrer le mot de passe avant de l'envoyer AD On simule une authentification sur AD pour chaque entre afin de ne mettre jour le mot de passe que s'il a chang

50. 50#mpclinid2014 Utilisation d'une DLL L'utilisation d'une DLL check password est un mcanisme standard propos par Active Directory, initialement pour implmenter sa propre politique de vrification de mot de passe Cette DLL intercepte le mot de passe en clair lors du changement par l'utilisateur, et accepte ou non son changement dans Active Directory Une implmentation libre de la DLL existe: passwdHK On configure alors un script qui est appel par la DLL et qui va faire la modification du mot de passe dans OpenLDAP

51. 51#mpclinid2014 Authentification sur Active Directory

52. 52#mpclinid2014 Support AD dans LinID A&F Manager LinID Access & Federation Manager sait s'interfacer avec l'authentification Active Directory: Soit en utilisant l'authentification LDAP (identifiant et mot de passe) Soit en utilisant l'authentification Windows intgre (Kerberos) Soit les deux, en testant d'abord Kerberos, puis LDAP Le changement du mot de passe dans Active Directory peut galement se faire depuis le portail LinID A&F Manager

53. 53#mpclinid2014 Utilisation de LDAP L'authentification se fait de manire standard au protocole LDAP Le module AD vrifie en plus le champ changement du mot de passe la prochaine connexion et force l'utilisateur faire ce changement au niveau du portail Le module AD traite ensuite l'opration de changement de mot de passe en utilisant l'attribut spcifique unicodePwd

54. 54#mpclinid2014 Utilisation de Kerberos L'authentification de l'utilisateur est ralise grce au ticket Kerberos obtenu l'ouverture de session et stock dans le navigateur C'est un module d'authentification Apache qui traite les changes Kerberos Le portail LinID A&F Manager peut ensuite consolider les informations de l'utilisateur en effectuant une recherche LDAP dans Active Directory Une configuration spcifique permet de prsenter un formulaire d'authentification standard dans le cas o l'authentification Kerberos choue

55. 55#mpclinid2014 Sommaire Introduction (15') Prsentation des composants de LinID.org (30') Intgration du serveur Active Directory avec LinID.org (30') Pause (15') Mise en place de la fdration des identits avec le protocole SAML (45') Retour d'exprience par Olivier Guillard, AFNIC (30')

56. #mpclinid2014 Mise en place de laMise en place de la fdration des identitsfdration des identits avec le protocole SAMLavec le protocole SAML

57. 57#mpclinid2014 Fdration des identits

58. 58#mpclinid2014 Pourquoi la fdration des identits? Le SSO est un moyen d'unifier l'authentification au sein d'une organisation L'utilisateur ne choisit pas sur quelles applications il souhaite avoir du SSO L'utilisateur a la mme identit sur chaque application Vie prive? Anonymat? L'utilisateur doit pouvoir: Possder des identits diffrentes sur des services diffrents (Clment OUDOT chez Google, Mon Petit Chou sur Meetic) Choisir de relier une identit une autre pour faire du SSO sur un service Briser le lien a posteriori

59. 59#mpclinid2014 Cercle de confiance Service Provider Identity Provider Service Provider Attributes Provider User interaction Web service

60. 60#mpclinid2014 Fdration d'un compte Fournisseur d'identit Fournisseur de service clement.oudot abcd1234 abcd1234 monpetitchou=abcd1234? clement.oudot monpetitchou

61. 61#mpclinid2014 Fdration et protocoles La fdration d'identit permet de crer des cercles de confiance entre fournisseurs de service et fournisseurs d'identits Les comptes des diffrents fournisseurs de services peuvent tre fdrs avec le compte du fournisseur d'identit (ce compte est appel principal) Chaque fournisseur de service dialogue alors avec le fournisseur d'identit pour s'assurer que l'utilisateur est bien reconnu sur le cercle de confiance Les standards d'origine SAML1, Liberty Alliance et Shibboleth convergent aujourd'hui vers SAML2 SAML gre galement la dconnexion (Single Logout), l'change d'attributs, l'autorisation...

62. 62#mpclinid2014 SAML, gloire et beaut SAML 1.0 WS-* ID-FF 1.2 ID-WSF 1.2 Shibboleth 1 SAML 2.0 ID-WSF 2.0

63. 63#mpclinid2014 Fonctionnement de SAML

64. 64#mpclinid2014 Cinmatique SAML 2.0 1. Premier accs l'application IDP SAML SP SAML 2. Authentification sur le serveur SAML choisi par l'utilisateur et autoris dans le cercle de confiance 3. Rponse SAML IDP SAML IDP SAML

65. 65#mpclinid2014 Les composants du protocole SAML

66. 66#mpclinid2014 LinID Access & Federation Manager

67. 67#mpclinid2014 Dmonstration Utilisation de LinID A&F Manager comme IDP et de simpleSAMLphp comme SP LinID Directory Server SP LinID Access & Federation Manager IDP

68. 68#mpclinid2014 Sommaire Introduction (15') Prsentation des composants de LinID.org (30') Intgration du serveur Active Directory avec LinID.org (30') Pause (15') Mise en place de la fdration des identits avec le protocole SAML (45') Retour d'exprience par Olivier Guillard, AFNIC (30')

69. #mpclinid2014 Retour d'exprienceRetour d'exprience Olivier GUILLARD, AFNICOlivier GUILLARD, AFNIC

70. #mpclinid2014 Merci de votre attention WWW.LINAGORA.COM