If you can't read please download the document
Upload
oudot-clement
View
1.572
Download
3
Embed Size (px)
DESCRIPTION
Présentation de LemonLDAP::NG et de l'implémentation SAML2
Citation preview
2. SOMMAIRE
3. Prsentation de LemonLDAP::NG 4. SAML2 et la fdration d'identits 5. Support SAML2 dans LemonLDAP::NG 6. Dmonstration 7. Le WebSSO
8. Le WebSSO se consacre l'authentification unique pour les applications Web, c'est--dire des applications client-serveur dont le client est un navigateur Web (IE, Firefox, etc.) 9. Le principe de base est d'intercepter les requtes entre le client et le serveur, et indiquer au serveur que le client est bien authentifi 10. Techniquement, cela repose essentiellement sur la gestion d'une session SSO stocke au niveau du serveur WebSSO et lie un cookie dans le navigateur de l'utilisateur 11. Deux architectures complmentaires existent :
12. WebSSO par mandataire inverse 13. SSO par dlgation 14. SSO par mandataire inverse 15. Autres fonctionnalits
16. En supplment, ces fonctionnalits sont souvent prsentes dans les produits de WebSSO :
17. Transfert d'informations complmentaires l'identifiant de l'utilisateur (nom, mails, etc.) 18. Gestion du mot de passe (interface de changement de mot de passe, rinitialisation, etc.) 19. Prsentation de LemonLDAP::NG
20. Dvelopp l'origine par Xavier GUIMARD pour les besoins de la Gendarmerie Nationale 21. Produit bas sur Apache et mod_perl, entirement crit en Perl (moteur et interfaces) 22. Fournit un portail d'accs dynamique et une interface d'administration 23. Architecture 24. Principe
25. effectuer un contrle d'accs (selon les attributs LDAP de l'utilisateur) 26. approvisionner les applications (par transmission des attributs LDAP dans les en-ttes HTTP) 27. permettre l'utilisateur de changer son mot de passe 28. Fonctionnement gnral 29. Gestion des sessions
30. Inscription du numro de session dans un cookie temporaire (non crit sur disque) avec le choix :
31. Cookie scuris (HTTPS uniquement) 32. Double cookie Dure de vie des sessions configurable 33. Rgles d'accs
34. Elles peuvent tre appliques sur tout ou partie d'une application protge (utilisation d'expressions rgulires sur les URL) 35. Tous les attributs exports lors de l'authentification sont disponibles dans les rgles 36. Un systme de macros permet de stocker des valeurs calcules en session 37. Rgles d'accs
Accs pour le groupe admin :
Interception du logout de l'application :
38. Htes virtuels
39. Les htes virtuels peuvent tre rpartis sur plusieurs serveurs Apache 40. Chaque hte virtuel possde :
41. Des en-ttes HTTP Les en-ttes HTTP contiennent galement des expressions Perl :
42. Auth-Name => uc($sn).", ".ucfirst($gn) 43. Applications nativement compatibles 44. Autres applications compatibles
45. Applications reposant sur la scurit Tomcat (users.xml) : Lutece, Probe, ... 46. Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ... 47. Applications compatibles SiteMinder 48. Quelques captures d'cran 49. Le protocole SAML
50. Les comptes des diffrents fournisseurs de services peuvent tre fdrs avec le compte du fournisseur d'identit (ce compte est appel principal) 51. Chaque fournisseur de service dialogue alors avec le fournisseur d'identit pour s'assurer que l'utilisateur est bien reconnu sur le cercle de confiance 52. Les standards d'origine SAML1, Liberty Alliance et Shibboleth convergent aujourd'hui vers SAML2 53. SAML gre galement la dconnexion (Single Logout), l'change d'attributs, l'autorisation... 54. Concepts SAML 55. Cinmatique d'authentification 56. SAML2 et LemonLDAP::NG
57. Modules :
58. LemonLDAP::NG en tant que fournisseur d'identit (IDP) : l'ouverture d'une session locale WebSSO ouvre galement une session SAML2 59. LemonLDAP::NG en tant que fournisseur d'attributs (AA): dlivrance d'attributs issus de la session utilisateur 60. LemonLDAP::NG en tant que mandataire d'identit (Proxy IDP): les modules SP et IDP sont activs simultanment 61. SAML dans la vraie vie 62. Dmonstration 63. 16, 17 et 18 MARS 2010 Merci de votre attention