OpenSSO Aquarium Paris

3 554 vues

Publié le

Présentation OpenSSO par Alain Barbier à Paris le 12 Décembre 2008

Publié dans : Technologie, Business
0 commentaire
6 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
3 554
Sur SlideShare
0
Issues des intégrations
0
Intégrations
60
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
6
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

OpenSSO Aquarium Paris

  1. 1. OpenSSO Alain Barbier Architecte Sun Microsystems France
  2. 2. OpenSSO Contrôle d'accès Web Fédération Sécurisation des Web Services Services d'identité
  3. 3. Un seul produit pour résoudre tous les problèmes de SSO Contrôle d'accès web, Fédération et sécurisation des web services
  4. 4. OpenSSO Contrôle d'accès web
  5. 5. Principes de fonctionnement WebSSO
  6. 6. OpenSSO Les flux
  7. 7. SSO et contrôle d'accès Authentification • Framework d'authentification extensible basé sur JAAS • Support de multiples modules d'authentifications > LDAP, RADIUS, Certificate, SafeWord, RSA SecureID, Unix, Windows NT, WindowsDesktopSSO (Kerberos), Anonymous, Membership (self-enrollment) > SPI pour intégrer/développer des modules d'authentifications spécifiques `` • Authentification multi-facteurs (Chaînage) • Multi-niveaux et Multi-schémas • Authentification par ressource > Utilisateur, realm, service, module, niveau • Notion de royaumes
  8. 8. SSO et contrôle d'accès Autorisation • Policy = Règles + Sujets + Conditions + Response Provider > Règle – La ressource à protéger (e.g. URL) > Sujet – Celui qui est autorisé à accéder à la ressource (User/Role/Group etc.) > Condition – Contraintes supplémentaires (IP Address mask, authN level/scheme, time/day etc.) > Response Provider – Données additionnelles à envoyer à la ressource.
  9. 9. Installation et configuration • Support d'un éventail plus important de systèmes d'exploitation (Solaris, Linux, Windows, AIX et Ubuntu) • Plus de conteneurs web (Sun WS, Sun AS, Weblogic, WebSphere, Oracle Application Server, Jboss, Tomcat, Geronimo) • Déploiement avec un seul war • Plusieurs configurations pré-définies (Wizard) • Processus de fédération simplifié > Echange des métadonnées (fichiers/réseau) > Test SSO, SLO
  10. 10. Contrôle d'accès : les nouveautés • Référentiel de configuration embarqué (basé sur OpenDS) • Plus de référentiels utilisateurs supportés (Sun DS, AD, IBM DS, LDAP v3) • Gestion des configurations centralisée • Gestion des agents centralisée • Nouvelle interface CLI (famadm)
  11. 11. Gestion centralisée des agents 3.0
  12. 12. Architecture
  13. 13. Exemple de déploiement
  14. 14. OpenSSO Fédération Les principes
  15. 15. Multiples comptes : une identité
  16. 16. Cercle de confiances
  17. 17. Association de comptes
  18. 18. La terminologie • Principal > Identifiant de l'utilisateur dans un contexte d'authentification • Fédération/Défédération (clé de fédération) > Opt in account linking, auto-fédération, bulk federation • Authentification unique (Single Sign On) • Déconnexion globale (Single Log Out) • “Pseudonymat”/Anonymat • Contexte d'authentification • Echange de méta données
  19. 19. Fédération : la convergence
  20. 20. Flux de Fédération (SAML2 pull http redirect)
  21. 21. OpenSSO Fédération Le produit
  22. 22. OpenSSO : Fédération • Fedlet : Création d'un modèle de service provider SAML2 configuré et intégré en quelques minutes • Hub de fédération multi-protocoles : Intégration d'un SP indépendamment de son quot;langage de fédérationquot; • Proxy de fédération virtuel : Utilisation des protocoles de fédération pour le transport sécurisé d'attributs d'applications legacy • Support des standards majeurs tels que SAML, WS- Federation, Liberty ID-FF, WS-Trust, WS-Security et WS- Policy • Consomme et traduit les jetons des solutions WAM les plus répandues
  23. 23. Fédération • WS-Federation > WS Fed Passive Requestor Interoperability Profile (http) > Interopérabilité ADFS • Profil XACML SAML2 • Plus de profils SAML2 > AttributeQuery/Response, AuthnQuery/Response > IDP proxying, ECP/proxy • Secure Attributes Exchange • Multiple Federation Protocol HUB (SSO/SLO) > SAML2, ID-FF, WS-FED
  24. 24. OpenSSO Sécurité Web Services Les principes
  25. 25. Sécurité Web Services Besoins Identification de l'utilisateur Préserver l'identité Préserver l'intégrité et l'anonymat Utilisation des technologies existantes Audit
  26. 26. Sécurité Web Services Problèmes La sécurité du protocole est essentielle mais insuffisante Seulement du point à point. Pas de non-répudiation Pas de sécurité hors protocole Pas d'élément du message signé & encrypté
  27. 27. Modèle Web Service Typique
  28. 28. Sécurisation du transport ● Protection limitée au point à point ● Nécessité de protéger au niveau message
  29. 29. Sécurisation Web Services
  30. 30. OpenSSO Sécurité Web Services Les fonctions
  31. 31. Identity Services et sécurité Web Services • Identity Services • Security Token Service (STS) • Sécurité Web Services (API, Framework, Plug-ins)
  32. 32. Sécurité web services : Trois modèles • JSR 196 plug-ins > Intégration en tant que filtre sur les serveurs d'applications • Identity Services > Interfaces wsdl/REST pour – Authentification – Autorisation – Attributs – Logging • Framework et standards > Liberty Alliance (ID-WSF), WS-*
  33. 33. OpenSSO : Agents Web Services (JSR 196) • Problème: > Comment mettre en place la sécurisation de web WSS Agent services dans des conteneurs différents sans OpenSSO clientsdk 4 modifier l'application ? Web Service Provider • Le processus SOAP 3 5 > Fournit un agent qui est déployé sur le conteneur (WSS) pour consommer, valider et transformer les jetons 2 Serveur de sécurité. WSS Agent OpenSSO > Abstraction de la sécurité par rapport à l'application OpenSSO clientsdk (orthogonalité). > Un agent WSS permet de standardiser la sécurité Web Service indépendemment du conteneur (e.g. Sun, IBM, Client BEA etc.) – Implémenter une extension d'authentification 1 Requête/Réponse intégrée au conteneur (JSR 196) – Sécurisation des requêtes SOAP et validation des réponses par le WSC. – Validation des requêtes SOAP et sécurisation des réponses par le WSP.
  34. 34. Secure Token Service (STS) • Problème : > Comment un Web service vérifie l'identité présentée par une application cliente ? • Le processus Web Service Provider > Un web service client nécessite un jeton authentifié Issue Token pour accéder à un web service serveur. SOAP 3 (WS-Trust) (WSS) > Le STS vérifie l'identité présentée par le client et 2 génère un jeton de sécurité qui prouve que le client a été authentifié par le STS. > Le client présente le jeton WS-I BSP (User Name, X.509, SAML etc.) au Web service serveur. Web Service Security Token > Le Web service serveur vérifie que le jeton a été Client Service généré par un STS de confiance, qui prouve que le client a été authentifié par le STS. 1 Requête/Réponse
  35. 35. Identity Services • Permettre aux développeurs d'invoquer les services d'OpenSSO. • Disponible sous la forme d'un ensemble de Web Services accessibles via SOAP et REST. ` • Solution sans agent qui ne nécessite pas le déploiement d'un agent ou d'un proxy pour protéger la ressource. • Supporte les IDE courants.
  36. 36. Identity Services disponibles Authentification Autorisation Vérification des credentials Permission d'accès à une authenticate (username, ressource pour un utilisateur password, uri) => Token authentifié. authorize (Resource, Action, Token) => boolean Attributs Audit Sélection d'attributs d'un Capacité d'auditer et utilisateur authentifié. d'enregistrer une opération. attributes(List attrNames, log (AppToken, Token, Token) => UserDetails Logname, Message)
  37. 37. OpenSSO Intégration produits externes
  38. 38. Intégration produits • OpenSSO + CA SiteMinder (SSO, Fédération SAML2) • OpenSSO + Oracle Access Manager (SSO, Fédération SAML2)
  39. 39. Intégration SiteMinder WebSSO • SiteMinder existant • Acquisition • Intégration avec l'authentification SiteMinder • OpenSSO transparent • Auth Module Siteminder sur OpenSSO
  40. 40. Intégration SiteMinder Fédération IDP • SiteMinder existant sur l'IDP • Intégration avec authentification sur SiteMinder (IDP) • OpenSSO sur SP • Auth Module SiteMinder sur OpenSSO • Agent SiteMinder sur OpenSSO
  41. 41. OpenSSO Les extensions
  42. 42. Quelques extensions • OpenID 1.1 • SAML 2.0 Ruby Relying Party • PHP Client SDK for OpenSSO • ActivIdentity 4TRESS • Information Card Relying Party • Spring Security (Acegi) • ...
  43. 43. OpenSSO Pour aller plus loin
  44. 44. Les liens > Site OpenSSO 1 https://opensso.dev.java.net > Participer 2 bigadmin.com | developers.sun.com/identity 3 > Formation sun.com/training > Data Sheets et White Papers 4 sun.com/identity > Documentation OpenSSO 5 http://docs.sun.com/ 6
  45. 45. Merci. Alain Barbier alain.barbier@sun.com

×