SlideShare une entreprise Scribd logo

Oauth et open id connect (oidc)

Pascal Flamand
Pascal Flamand

OAUTH et OpenID Connect (OIDC) Cas d'usages

Technologie
1  sur  11
Télécharger pour lire hors ligne
OAUTH et OpenID Connect (OIDC) Cas d'usages 18 Mai 2015 Cyril Grosjean CTO JANUA
Généralités sur OAUTH 2 et OIDC ● Permettre à une application cliente (Web, mobile,..) d'accéder à des ressources appartenant à un utilisateur et détenues sur un serveur tiers, en demandant éventuellement le consentement de l'utilisateur, mais sans que celui-ci ait à nécessairement à donner à l'application cliente son mot de passe ● Permettre la révocation d'une application cliente (et des jetons déjà émis) ● Très récents : (OAuth v1: 2010, v2: 2012, OIDC: 2014)... ● … mais adoption rapide (mobilité, objets connectés, réseaux sociaux ...) ● Focus sur la facilité de déploiement et d'intégration, la mobilité .. ● .. et la sécurité : HTTPS, signature et/ou chiffrement (JWT), permissions (scope), anti-rejeu de jeton, révocation d'un client, d'un jeton, authentification du client, consentement de l'utilisateur, flux ne passant pas forcément par le navigateur, client publique/privé
OAUTH 2 : jeton de rafraichissement
OAUTH 2 : principe général accès à une ressource protégée
OAUTH 2 : jeton de rafraichissement
OAUTH 2 : exemples de requêtes Autorisation par code Autorisation par assertion SAML
OIDC : principe général
Différences entre OAUTH 1 et 2 ● OAUTH 1.0 obsolète ● OAUTH 2.0 généralisé avec des différences d'implémentations d'où l'émergence d'une offre commerciale visant à simplifier l'interaction avec différents types de serveur OAUTH 2 : OAuth.io ● Pas d'expiration / expiration des jetons (mais possibilité de les renouveler) ● Pas de notion de scope / apparition du scope (ce à quoi un jeton donne droit) ● Signature des requêtes (problèmes d'inter-opérabilités) / utilisation d'HTTPS à la place ● Pas de serveur d'autorisation / serveur d'autorisation externe
Apports d'OIDC ● En OIDC, le serveur cible (qui détient les ressources) est aussi celui qui délivre les jetons ● mode déconnecté: permet à une application de continuer à accéder à des ressources d'une autre application alors que l'utilisateur s'est déconnecté ● nouveau flux (hybride) : compromis performances/sécurité (cf. diapo. suivante) ● nouveaux services (découverte, auto-enregistrement, session) ● un jeton en plus (id_token), qui plus est dans un format normalisé et sécurisé ● utilisation de JWT possible dans les requêtes, les réponses, ou à l'authentification du client: facilite le développement, augmente la sécurité ● possibilité de demander des champs (claims) particuliers plutôt que la totalité ● possibilité de distribuer les sources (distributed & aggregated claims) ● auto-génération de jeton ● authentification à l'initiative d'une application tierce
Cas d'usages et cinématiques OAUTH 2 et OIDC ● Autorisation par code : mode le + sûr mais 2 requêtes ● Autorisation implicite : mode optimisé pour le mobile, si l'on privilégie les performances (une seule requête et pas de jeton de rafraichissement) ● Autorisation par code et flux hybride (OIDC): compromis entre performances et sécurité pour le mobile (1 ou 2 requêtes, jeton de rafraichissement et authentification du client possibles) ● Autorisation par fourniture au client de l'identifiant/mot de passe de l'utilisateur : si modes précédents ne conviennent pas et que le client est "sûr" (exemple : OS). OAUTH2 uniquement (pas de sens en OIDC) ● Autorisation par fourniture de l'identifiant/mot de passe de l'application: cas où le client OAUTH2 doit accéder à son propre compte (scénario sans utilisateur) ● Cinématique à l'initiative d'une application tierce : permet d'avoir différents sens de navigation
Janua est une société de service et de consulting qui se propose de vous accompagner vers le monde de la gestion des identités, de la sécurité et des logiciels libres. ● ENL (Entreprise du Numérique Libre – SS2L) fondée en 2004 à Sophia Antipolis (Alpes-Maritimes, région Paca) ● Nos domaines d’expertise : Gestion des Identités et Open Source. ● Nos prestations : audit, consulting, intégration, AMOA, MEP, accompagnement, développement au forfait et support. ● Notre approche : les processus itératifs, les maquettes (POC) et l’utilisation de méthodologies « agiles ». http://www.janua.fr

Recommandé

Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Damien Boissin
 
Delegation d'authentification
Delegation d'authentificationDelegation d'authentification
Delegation d'authentification
Sébastien Brault
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId Connect
François Petitit
 
Présentation Oauth OpenID
Présentation Oauth OpenIDPrésentation Oauth OpenID
Présentation Oauth OpenID
Pascal Flamand
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemples
Clément OUDOT
 
Oauth2 et OpenID Connect
Oauth2 et OpenID ConnectOauth2 et OpenID Connect
Oauth2 et OpenID Connect
Pascal Flamand
 
Oauth2 & OpenID Connect
Oauth2 & OpenID ConnectOauth2 & OpenID Connect
Oauth2 & OpenID Connect
Pascal Flamand
 
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
Cyber Security Alliance
 

Recommandé

Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Damien Boissin
 
Delegation d'authentification
Delegation d'authentificationDelegation d'authentification
Delegation d'authentification
Sébastien Brault
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId Connect
François Petitit
 
Présentation Oauth OpenID
Présentation Oauth OpenIDPrésentation Oauth OpenID
Présentation Oauth OpenID
Pascal Flamand
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemples
Clément OUDOT
 
Oauth2 et OpenID Connect
Oauth2 et OpenID ConnectOauth2 et OpenID Connect
Oauth2 et OpenID Connect
Pascal Flamand
 
Oauth2 & OpenID Connect
Oauth2 & OpenID ConnectOauth2 & OpenID Connect
Oauth2 & OpenID Connect
Pascal Flamand
 
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
Cyber Security Alliance
 
LTO Auth
LTO AuthLTO Auth
LTO Auth
ODC Orange Developer Center
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
Cyber Security Alliance
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
Clément OUDOT
 
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesCAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
Clément OUDOT
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Philippe Beraud
 
Sso fédération
Sso fédérationSso fédération
Sso fédération
Pascal Flamand
 
Presentation OpenID
Presentation OpenIDPresentation OpenID
Presentation OpenID
mauritiusnetwork
 
[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect
Clément OUDOT
 
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGS2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
Clément OUDOT
 
La Grande Famille OAuth 2.0
La Grande Famille OAuth 2.0La Grande Famille OAuth 2.0
La Grande Famille OAuth 2.0
Guillaume Sauthier
 
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
François Petitit
 
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGSAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
Clément OUDOT
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
Cyber Security Alliance
 
Introduction oauth 2.0 et openid connect 1.0
Introduction oauth 2.0 et openid connect 1.0Introduction oauth 2.0 et openid connect 1.0
Introduction oauth 2.0 et openid connect 1.0
Marc-André Tousignant
 
LemonLDAP::NG, un WebSSO libre‎ en Perl !
LemonLDAP::NG, un WebSSO libre‎ en Perl !LemonLDAP::NG, un WebSSO libre‎ en Perl !
LemonLDAP::NG, un WebSSO libre‎ en Perl !
Clément OUDOT
 
Drupal sso
Drupal ssoDrupal sso
Drupal sso
Bruno Bonfils
 
Présentation de LemonLDAP::NG aux Journées Perl 2016
Présentation de LemonLDAP::NG aux Journées Perl 2016Présentation de LemonLDAP::NG aux Journées Perl 2016
Présentation de LemonLDAP::NG aux Journées Perl 2016
Clément OUDOT
 
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Clément OUDOT
 
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Microsoft
 
Json Web Token
Json Web TokenJson Web Token
Json Web Token
Inal DJAFAR
 
Saml v2-OpenAM
Saml v2-OpenAMSaml v2-OpenAM
Saml v2-OpenAM
Pascal Flamand
 
Agenda formation OpenAM
Agenda formation OpenAMAgenda formation OpenAM
Agenda formation OpenAM
Pascal Flamand
 

Contenu connexe

Tendances

LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
Clément OUDOT
 
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGSAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
Clément OUDOT
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
Cyber Security Alliance
 
Introduction oauth 2.0 et openid connect 1.0
Introduction oauth 2.0 et openid connect 1.0Introduction oauth 2.0 et openid connect 1.0
Introduction oauth 2.0 et openid connect 1.0
Marc-André Tousignant
 
LemonLDAP::NG, un WebSSO libre‎ en Perl !
LemonLDAP::NG, un WebSSO libre‎ en Perl !LemonLDAP::NG, un WebSSO libre‎ en Perl !
LemonLDAP::NG, un WebSSO libre‎ en Perl !
Clément OUDOT
 
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Clément OUDOT
 
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Microsoft
 

Tendances (20)

LTO Auth
LTO AuthLTO Auth
LTO Auth
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
 
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesCAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
 
Sso fédération
Sso fédérationSso fédération
Sso fédération
 
Presentation OpenID
Presentation OpenIDPresentation OpenID
Presentation OpenID
 
[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect
 
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGS2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
 
La Grande Famille OAuth 2.0
La Grande Famille OAuth 2.0La Grande Famille OAuth 2.0
La Grande Famille OAuth 2.0
 
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...
 
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGSAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
 
Introduction oauth 2.0 et openid connect 1.0
Introduction oauth 2.0 et openid connect 1.0Introduction oauth 2.0 et openid connect 1.0
Introduction oauth 2.0 et openid connect 1.0
 
LemonLDAP::NG, un WebSSO libre‎ en Perl !
LemonLDAP::NG, un WebSSO libre‎ en Perl !LemonLDAP::NG, un WebSSO libre‎ en Perl !
LemonLDAP::NG, un WebSSO libre‎ en Perl !
 
Drupal sso
Drupal ssoDrupal sso
Drupal sso
 
Présentation de LemonLDAP::NG aux Journées Perl 2016
Présentation de LemonLDAP::NG aux Journées Perl 2016Présentation de LemonLDAP::NG aux Journées Perl 2016
Présentation de LemonLDAP::NG aux Journées Perl 2016
 
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
 
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
 
Json Web Token
Json Web TokenJson Web Token
Json Web Token
 

En vedette

Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)
ISACA Chapitre de Québec
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
Danny Batomen Yanga
 
Trabajo practico numero 10 Lucila zamora
Trabajo practico numero 10 Lucila zamoraTrabajo practico numero 10 Lucila zamora
Trabajo practico numero 10 Lucila zamora
luly-z
 
Origen de universo
Origen de universo Origen de universo
Origen de universo
67x
 
Ii.6. procedimientos de evaluación interna
Ii.6. procedimientos de evaluación internaIi.6. procedimientos de evaluación interna
Ii.6. procedimientos de evaluación interna
CEIP CIudad de Belda
 
Rapport licencepro managementressourcesnumériques
Rapport licencepro managementressourcesnumériquesRapport licencepro managementressourcesnumériques
Rapport licencepro managementressourcesnumériques
Casse2
 
2 y 3 unidad de 4to
2 y 3 unidad de 4to2 y 3 unidad de 4to
2 y 3 unidad de 4to
Domus
 

En vedette (20)

Saml v2-OpenAM
Saml v2-OpenAMSaml v2-OpenAM
Saml v2-OpenAM
 
Agenda formation OpenAM
Agenda formation OpenAMAgenda formation OpenAM
Agenda formation OpenAM
 
Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)Évolution et révolution en gestion des identités et des accès (GIA)
Évolution et révolution en gestion des identités et des accès (GIA)
 
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identi...
 
Identity and Access Management - IDM365
Identity and Access Management - IDM365 Identity and Access Management - IDM365
Identity and Access Management - IDM365
 
OpenAM - An Introduction
OpenAM - An IntroductionOpenAM - An Introduction
OpenAM - An Introduction
 
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
LES SYSTEMES DE GESTION DES IDENTITES ET DES ACCES : MISE EN ŒUVRE ET APPORT ...
 
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
 
Trabajo practico numero 10 Lucila zamora
Trabajo practico numero 10 Lucila zamoraTrabajo practico numero 10 Lucila zamora
Trabajo practico numero 10 Lucila zamora
 
Origen de universo
Origen de universo Origen de universo
Origen de universo
 
Ii.6. procedimientos de evaluación interna
Ii.6. procedimientos de evaluación internaIi.6. procedimientos de evaluación interna
Ii.6. procedimientos de evaluación interna
 
Descubrimiento de américa
Descubrimiento de américaDescubrimiento de américa
Descubrimiento de américa
 
Guide pratique CAHM-TV
Guide pratique CAHM-TVGuide pratique CAHM-TV
Guide pratique CAHM-TV
 
Estadística: semana01
Estadística: semana01Estadística: semana01
Estadística: semana01
 
Capitulo i enviar a justino
Capitulo i enviar a justinoCapitulo i enviar a justino
Capitulo i enviar a justino
 
Presentación
PresentaciónPresentación
Presentación
 
Rapport licencepro managementressourcesnumériques
Rapport licencepro managementressourcesnumériquesRapport licencepro managementressourcesnumériques
Rapport licencepro managementressourcesnumériques
 
Slides fotos pinturas la obsesion de van gogh e millet
Slides fotos pinturas la obsesion de van gogh e milletSlides fotos pinturas la obsesion de van gogh e millet
Slides fotos pinturas la obsesion de van gogh e millet
 
2 y 3 unidad de 4to
2 y 3 unidad de 4to2 y 3 unidad de 4to
2 y 3 unidad de 4to
 
Actividad final semana VIII Programa Adminsitración de Negocios Internacionales
Actividad final semana VIII Programa Adminsitración de Negocios InternacionalesActividad final semana VIII Programa Adminsitración de Negocios Internacionales
Actividad final semana VIII Programa Adminsitración de Negocios Internacionales
 

Similaire à Oauth et open id connect (oidc)

(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
Microsoft Technet France
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...
Gregory Haik
 
Auth forte application
Auth forte applicationAuth forte application
Auth forte application
bong85
 

Similaire à Oauth et open id connect (oidc) (20)

Secure a REST API for external public access
Secure a REST API for external public accessSecure a REST API for external public access
Secure a REST API for external public access
 
OIDC jusque dans les applications mobiles
OIDC jusque dans les applications mobilesOIDC jusque dans les applications mobiles
OIDC jusque dans les applications mobiles
 
La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthn
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
Sophia conf2013 cg
Sophia conf2013 cgSophia conf2013 cg
Sophia conf2013 cg
 
OCTO - Sécurité android
OCTO - Sécurité androidOCTO - Sécurité android
OCTO - Sécurité android
 
DSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestoneDSP2 standards, sécurité, quels impacts wavestone
DSP2 standards, sécurité, quels impacts wavestone
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...
 
Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012Sécurité android par Philippe Prados 25/07/2012
Sécurité android par Philippe Prados 25/07/2012
 
Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011
 
Gérer facilement les identités dans le cloud
Gérer facilement les identités dans le cloudGérer facilement les identités dans le cloud
Gérer facilement les identités dans le cloud
 
Sécurité Android, comment l'exploiter
Sécurité Android, comment l'exploiterSécurité Android, comment l'exploiter
Sécurité Android, comment l'exploiter
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
 
PKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretPKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secret
 
Auth forte application
Auth forte applicationAuth forte application
Auth forte application
 
Cwin16 - Paris - blockchain
Cwin16 - Paris - blockchainCwin16 - Paris - blockchain
Cwin16 - Paris - blockchain
 
Architecture android
Architecture androidArchitecture android
Architecture android
 
IOT-1.pdf
IOT-1.pdfIOT-1.pdf
IOT-1.pdf
 

Plus de Pascal Flamand

Plus de Pascal Flamand (20)

Start14 french tech startuffe nation
Start14 french tech startuffe nationStart14 french tech startuffe nation
Start14 french tech startuffe nation
 
Article "Un an de télétravail et de COVID" dans le magazine Start
Article "Un an de télétravail et de COVID" dans le magazine StartArticle "Un an de télétravail et de COVID" dans le magazine Start
Article "Un an de télétravail et de COVID" dans le magazine Start
 
Article "La tyrannie du risque zéro" dans le magazine Start
Article "La tyrannie du risque zéro" dans le magazine StartArticle "La tyrannie du risque zéro" dans le magazine Start
Article "La tyrannie du risque zéro" dans le magazine Start
 
Article "quand les licornes voleront..." dans le magazine Start
Article "quand les licornes voleront..." dans le magazine StartArticle "quand les licornes voleront..." dans le magazine Start
Article "quand les licornes voleront..." dans le magazine Start
 
Article sur "Le temps des c(e)rises" dans le magazine Start
Article sur "Le temps des c(e)rises" dans le magazine StartArticle sur "Le temps des c(e)rises" dans le magazine Start
Article sur "Le temps des c(e)rises" dans le magazine Start
 
TOC training Keycloak RedhatSSO advanced
TOC training Keycloak RedhatSSO advancedTOC training Keycloak RedhatSSO advanced
TOC training Keycloak RedhatSSO advanced
 
TOC training KeyCloak Redhat SSO core
TOC training KeyCloak Redhat SSO coreTOC training KeyCloak Redhat SSO core
TOC training KeyCloak Redhat SSO core
 
Article sur l'Agilité dans le magazine Start
Article sur l'Agilité dans le magazine StartArticle sur l'Agilité dans le magazine Start
Article sur l'Agilité dans le magazine Start
 
Article sur l'IA dans le magazine Start
Article sur l'IA dans le magazine StartArticle sur l'IA dans le magazine Start
Article sur l'IA dans le magazine Start
 
Article sur la Smart City dans le magazine Start
Article sur la Smart City dans le magazine StartArticle sur la Smart City dans le magazine Start
Article sur la Smart City dans le magazine Start
 
TOC training Keycloak RedhatSSO UMA
TOC training Keycloak RedhatSSO UMATOC training Keycloak RedhatSSO UMA
TOC training Keycloak RedhatSSO UMA
 
Article sur les Startup dans le magazine Start
Article sur les Startup dans le magazine StartArticle sur les Startup dans le magazine Start
Article sur les Startup dans le magazine Start
 
TOC training Keycloak RedhatSSO advanced
TOC training Keycloak RedhatSSO advancedTOC training Keycloak RedhatSSO advanced
TOC training Keycloak RedhatSSO advanced
 
TOC training KeyCloak Redhat SSO core
TOC training KeyCloak Redhat SSO coreTOC training KeyCloak Redhat SSO core
TOC training KeyCloak Redhat SSO core
 
TOC training OpenIDM
TOC training OpenIDMTOC training OpenIDM
TOC training OpenIDM
 
Article sur les Pitchs dans le magazine Start
Article sur les Pitchs dans le magazine StartArticle sur les Pitchs dans le magazine Start
Article sur les Pitchs dans le magazine Start
 
Article sur la Transformation Digitale dans le Magazine Start
Article sur la Transformation Digitale dans le Magazine StartArticle sur la Transformation Digitale dans le Magazine Start
Article sur la Transformation Digitale dans le Magazine Start
 
Article sur l'IA dans le magazine Start
Article sur l'IA dans le magazine StartArticle sur l'IA dans le magazine Start
Article sur l'IA dans le magazine Start
 
Tribune paca jaguards 12.12.18
Tribune paca jaguards 12.12.18Tribune paca jaguards 12.12.18
Tribune paca jaguards 12.12.18
 
Partenariat Jaguards - Busit
Partenariat Jaguards - BusitPartenariat Jaguards - Busit
Partenariat Jaguards - Busit
 

Oauth et open id connect (oidc)

  • 1. OAUTH et OpenID Connect (OIDC) Cas d'usages 18 Mai 2015 Cyril Grosjean CTO JANUA
  • 2. Généralités sur OAUTH 2 et OIDC ● Permettre à une application cliente (Web, mobile,..) d'accéder à des ressources appartenant à un utilisateur et détenues sur un serveur tiers, en demandant éventuellement le consentement de l'utilisateur, mais sans que celui-ci ait à nécessairement à donner à l'application cliente son mot de passe ● Permettre la révocation d'une application cliente (et des jetons déjà émis) ● Très récents : (OAuth v1: 2010, v2: 2012, OIDC: 2014)... ● … mais adoption rapide (mobilité, objets connectés, réseaux sociaux ...) ● Focus sur la facilité de déploiement et d'intégration, la mobilité .. ● .. et la sécurité : HTTPS, signature et/ou chiffrement (JWT), permissions (scope), anti-rejeu de jeton, révocation d'un client, d'un jeton, authentification du client, consentement de l'utilisateur, flux ne passant pas forcément par le navigateur, client publique/privé
  • 3. OAUTH 2 : jeton de rafraichissement
  • 4. OAUTH 2 : principe général accès à une ressource protégée
  • 5. OAUTH 2 : jeton de rafraichissement
  • 6. OAUTH 2 : exemples de requêtes Autorisation par code Autorisation par assertion SAML
  • 7. OIDC : principe général
  • 8. Différences entre OAUTH 1 et 2 ● OAUTH 1.0 obsolète ● OAUTH 2.0 généralisé avec des différences d'implémentations d'où l'émergence d'une offre commerciale visant à simplifier l'interaction avec différents types de serveur OAUTH 2 : OAuth.io ● Pas d'expiration / expiration des jetons (mais possibilité de les renouveler) ● Pas de notion de scope / apparition du scope (ce à quoi un jeton donne droit) ● Signature des requêtes (problèmes d'inter-opérabilités) / utilisation d'HTTPS à la place ● Pas de serveur d'autorisation / serveur d'autorisation externe
  • 9. Apports d'OIDC ● En OIDC, le serveur cible (qui détient les ressources) est aussi celui qui délivre les jetons ● mode déconnecté: permet à une application de continuer à accéder à des ressources d'une autre application alors que l'utilisateur s'est déconnecté ● nouveau flux (hybride) : compromis performances/sécurité (cf. diapo. suivante) ● nouveaux services (découverte, auto-enregistrement, session) ● un jeton en plus (id_token), qui plus est dans un format normalisé et sécurisé ● utilisation de JWT possible dans les requêtes, les réponses, ou à l'authentification du client: facilite le développement, augmente la sécurité ● possibilité de demander des champs (claims) particuliers plutôt que la totalité ● possibilité de distribuer les sources (distributed & aggregated claims) ● auto-génération de jeton ● authentification à l'initiative d'une application tierce
  • 10. Cas d'usages et cinématiques OAUTH 2 et OIDC ● Autorisation par code : mode le + sûr mais 2 requêtes ● Autorisation implicite : mode optimisé pour le mobile, si l'on privilégie les performances (une seule requête et pas de jeton de rafraichissement) ● Autorisation par code et flux hybride (OIDC): compromis entre performances et sécurité pour le mobile (1 ou 2 requêtes, jeton de rafraichissement et authentification du client possibles) ● Autorisation par fourniture au client de l'identifiant/mot de passe de l'utilisateur : si modes précédents ne conviennent pas et que le client est "sûr" (exemple : OS). OAUTH2 uniquement (pas de sens en OIDC) ● Autorisation par fourniture de l'identifiant/mot de passe de l'application: cas où le client OAUTH2 doit accéder à son propre compte (scénario sans utilisateur) ● Cinématique à l'initiative d'une application tierce : permet d'avoir différents sens de navigation
  • 11. Janua est une société de service et de consulting qui se propose de vous accompagner vers le monde de la gestion des identités, de la sécurité et des logiciels libres. ● ENL (Entreprise du Numérique Libre – SS2L) fondée en 2004 à Sophia Antipolis (Alpes-Maritimes, région Paca) ● Nos domaines d’expertise : Gestion des Identités et Open Source. ● Nos prestations : audit, consulting, intégration, AMOA, MEP, accompagnement, développement au forfait et support. ● Notre approche : les processus itératifs, les maquettes (POC) et l’utilisation de méthodologies « agiles ». http://www.janua.fr