Upload
oudot-clement
View
509
Download
3
Embed Size (px)
DESCRIPTION
Citation preview
#mpclinid2014
Mise en place de la fédération des identités avec SAML
Matinée pour comprendre – LinID – 3 avril 2014
2#mpclinid2014
Fédération des identités
3#mpclinid2014
Pourquoi la fédération des identités ?
● Le SSO est un moyen d'unifier l'authentification au sein d'une organisation
● L'utilisateur ne choisit pas sur quelles applications il souhaite avoir du SSO
● L'utilisateur a la même identité sur chaque application
● Vie privée ? Anonymat ?
● L'utilisateur doit pouvoir :
– Posséder des identités différentes sur des services différents (Clément OUDOT chez Google, Mon Petit Chou sur Meetic)
– Choisir de relier une identité à une autre pour faire du SSO sur un service
– Briser le lien a posteriori
4#mpclinid2014
Cercle de confiance
Service Provider
Identity Provider Service Provider
Attributes Provider
User interaction
Web service
5#mpclinid2014
Fédération d'un compte
Fournisseur d'identité Fournisseur de service
clement.oudot
abcd1234
abcd1234
monpetitchou=abcd1234 ?
clement.oudot monpetitchou
6#mpclinid2014
Fédération et protocoles
● La fédération d'identité permet de créer des cercles de confiance entre fournisseurs de service et fournisseurs d'identités
● Les comptes des différents fournisseurs de services peuvent être fédérés avec le compte du fournisseur d'identité (ce compte est appelé principal)
● Chaque fournisseur de service dialogue alors avec le fournisseur d'identité pour s'assurer que l'utilisateur est bien reconnu sur le cercle de confiance
● Les standards d'origine SAML1, Liberty Alliance et Shibboleth convergent aujourd'hui vers SAML2
● SAML gère également la déconnexion (Single Logout), l'échange d'attributs, l'autorisation...
7#mpclinid2014
SAML, gloire et beauté
SAML 1.0
WS-*
ID-FF 1.2
ID-WSF 1.2
Shibboleth 1
SAML 2.0
ID-WSF 2.0
8#mpclinid2014
Fonctionnement de SAML
9#mpclinid2014
Cinématique SAML 2.0
1. Premier accès à l'application
IDP SAML
SP SAML
2. Authentification sur le serveur SAML choisi par l'utilisateur et autorisé dans le cercle de confiance
3. Réponse SAML
IDP SAML IDP SAML
10#mpclinid2014
Les composants du protocole SAML
11#mpclinid2014
LinID Access & Federation Manager
12#mpclinid2014
Démonstration
● Utilisation de LinID A&F Manager comme IDP et de simpleSAMLphp comme SP
LinIDDirectoryServer
SP
LinIDAccess
&FederationManager
IDP
#mpclinid2014
Merci de votre attention