SlideShare une entreprise Scribd logo

SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG

Identity Days
Identity Days

Une conférence proposée par David Coutadeur La gestion d’identité est de plus en plus présente aujourd’hui, et les offres de SSO sont multiples. Au coeur de ce marché, LemonLDAP::NG est une implémentation open-source robuste, complète, et adaptable de WebSSO. Il répond aux besoins de sociétés privées et d’administrations de toutes tailles. L’objectif de cette session est d’expliquer les concepts liés au SSO, de présenter le logiciel LemonLDAP::NG, de faire un point sur ses nouveautés, et de présenter un retour d’expérience client concret : architecture, état des lieux, difficultés rencontrées et bilan. Vous saurez tout !

Technologie
1  sur  42
Télécharger pour lire hors ligne
24 octobre 2023 - PARIS Identity Days 2023 Merci à tous nos partenaires ! 24 octobre 2023 - PARIS @IdentityDays #identitydays2022
24 octobre 2023 - PARIS Identity Days 2023 David Coutadeur Identity Days 2023 SSO et fédération d'identités avec le logiciel libre LemonLDAP::NG, retour d'expérience d'un client
24 octobre 2023 - PARIS Identity Days 2023 David Coutadeur Architecte en gestion d’identité Ordre du jour Identity Days 2023 1. Présentation 2. Présentation de LemonLDAP::NG 3. Mise en place chez [client] 4. Nouveautés de LemonLDAP::NG
24 octobre 2023 - PARIS Identity Days 2023 Présentation Identity Days 2023
24 octobre 2023 - PARIS Identity Days 2023 David COUTADEUR architecte en gestion d’identité ~10 ans d’expérience dans le domaine passionné d’open-source david.coutadeur@worteks.com @dcoutadeur@toot.aquilenet.fr www.linkedin.com/in/david-coutadeur-06571a1a4 Intervenants
24 octobre 2023 - PARIS Identity Days 2023 Worteks (vɔʁ.tɛks) Service Infrastructures complexes, cloud, mail, authentification, sécurité,...  Études, audit & consulting  Expertise technique  Support  Formation  R&D et innovation Édition Portail collaboratif Plateforme de développement commune Gestion des identités et des accès Partenaires
24 octobre 2023 - PARIS Identity Days 2023 All we need is you! https://www.worteks.com/rejoindre/
24 octobre 2023 - PARIS Identity Days 2023 Présentation de LemonLDAP::NG Identity Days 2023
24 octobre 2023 - PARIS Identity Days 2023 SSO Workflow Portail d’authentification Application 2. Authentification 1. Premier accès 3. Envoi du jeton SSO Lien de confiance 4. Validation du jeton SSO
24 octobre 2023 - PARIS Identity Days 2023 Historique 2003 2006 2010 2016 2018 Création du projet Fork – version NG Protocoles CAS, SAML et OpenID version 1.0 Protocole OpenID Connect Second facteurs (2FA) version 2.0
24 octobre 2023 - PARIS Identity Days 2023 Principales fonctionnalités SSO & Contrôle d’accès Menu des applications CAS / SAML / OIDC Gestion du mot de passe Personnalisation graphique Second facteurs (2FA)
24 octobre 2023 - PARIS Identity Days 2023 Interfaces Formulaire d’authentification Menu des applications Interface d’administration
24 octobre 2023 - PARIS Identity Days 2023 Interface CLI
24 octobre 2023 - PARIS Identity Days 2023 Logiciel libre  Licence GPL  Projet OW2  Forge: https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng  Site: https://lemonldap-ng.org  « OW2 Community Award in 2014 »  Composant SSO du projet FusionIAM : https://fusioniam.org/
24 octobre 2023 - PARIS Identity Days 2023 Rôles des composants Configurations Sessions Portail Manager Handler Menu des applications CAS SAML OpenID Connect Self Services Serveur SOAP/REST Gestion des sessions Configurations Sessions Notifications Second facteurs Contrôle d’accès SSOaaS Web Service Token Personnalisé
24 octobre 2023 - PARIS Identity Days 2023 Application web protégée par handler Sessions Portail Handler Application web Authentification Création de session Lecture de session cookie SSO en-têtes HTTP
24 octobre 2023 - PARIS Identity Days 2023 CAS  Créé par l’université de Yale  « Central Authentication Service »  Mode proxy depuis la v2.0  Partage d’attributs depuis la v3.0  https://www.apereo.org/projects/cas
24 octobre 2023 - PARIS Identity Days 2023 Client CAS Serveur CAS Premier accès Redirection pour authentification Ticket de service Ticket de service Validation du ticket de service Accès à l’identité CAS
24 octobre 2023 - PARIS Identity Days 2023 SAML  Créé par l’organisation OASIS  « Security Assertion Markup Language »  Version 1.0 en 2002  Version 1.1 en 2003  Version 2.0 en 2005, fusionnant SAML, Shibboleth et ID- FF (Liberty Alliance)
24 octobre 2023 - PARIS Identity Days 2023 Fournisseur de Service (SP) Fournisseur d’Identité (IdP) premier accès choix de l’IdP requête d’authentification réponse d’authentification réponse d’authentification vérification de signature lecture de l’assertion SAML
24 octobre 2023 - PARIS Identity Days 2023 OpenID Connect  Créé en 2014  Présenté aux RMLL en 2015  Basé sur OAuth 2.0, REST, JSON, JWT, JOSE  Adapté aux navigateurs web et aux applications mobiles natives  Partage d’attributs via le point d’entrée UserInfo
24 octobre 2023 - PARIS Identity Days 2023 Relying Party (RP) Fournisseur OpenID Connect (OP) premier accès choix de l’OP requête d’authentification JWT JWT vérification de la signature lecture du JWT récupération UserInfo OpenID Connect
24 octobre 2023 - PARIS Identity Days 2023 Second Facteur d’Authentification (2FA)  LemonLDAP::NG peut utiliser les 2FA suivants :  TOTP  WebAuthn  Mail  External (SMS)  REST  Yubikey  Radius
24 octobre 2023 - PARIS Identity Days 2023 RENATER / eduGAIN  Support de RENATER / eduGAIN via SAML2 :  Fournisseur de Service  Fournisseur d’Identité  Appel à la page de sélection du Fournisseur d’Identité (WAYF) via « SAML Discovery Protocol »  Script d’import en masse des métadonnées
24 octobre 2023 - PARIS Identity Days 2023 Moteur de plugins  Le portail a été complètement réécrit, et il permet maintenant le développement de plugins  Exemples de plugins fournis par défaut :  Auto Signin : authentification directe pour certaines IP  Brute Force : protection contre les attaques par force brute  Stay Connected : bouton « se souvenir de moi »  Public Pages : créer des pages statiques utilisant le thème du portail  Comment écrire son plugin ? https://lemonldap-ng.org/documentation/latest/plugincustom
24 octobre 2023 - PARIS Identity Days 2023 Politique de mots de passe  LemonLDAP peut s’appuyer sur la politique de mot de passe de l’annuaire  Une politique de mots de passe locale peut maintenant être configurée (taille minimale, type de caractères,...)  Un formulaire graphique montre quel critère est rempli
24 octobre 2023 - PARIS Identity Days 2023 Documentation et site web  La documentation a été réécrite en Sphinx (reStructuredText)  Le site web a été reconstruit en pages statiques avec Templer
24 octobre 2023 - PARIS Identity Days 2023 Se tenir informé sur LL::NG  Inscription sur la mailing-list lemonldap-ng-announces : https://mail.ow2.org/wws/subscribe/lemonldap-ng-announces  Suivre les mises à jour du projet : https://projects.ow2.org/bin/view/lemonldap-ng/  Notes de mise à jour : https://lemonldap-ng.org/documentation/latest/upgrade.html  Réseaux sociaux :  Twitter: https://twitter.com/lemonldapng/  Facebook: https://www.facebook.com/lemonldapng/
24 octobre 2023 - PARIS Identity Days 2023 Mise en place chez [client] Identity Days 2023
24 octobre 2023 - PARIS Identity Days 2023 30 Architecture
24 octobre 2023 - PARIS Identity Days 2023 31 Démarche  Étude comparative Keycloak vs LemonLDAP::NG  sélection de LemonLDAP::NG. Critères déterminants :  gestion intégrée des applications protégées par en-têtes HTTP  pas de stockage des données utilisateurs dans un contexte de pure fédération (respect de la RGPD)  support du produit  logiciel souverain  Mise en place de l’environnement de qualification  Mise en place de l’environnement de préproduction  Mise en place de l’environnement de production
24 octobre 2023 - PARIS Identity Days 2023 32 État des lieux  Cas d’usage : utilisateurs issus des différents « Fournisseurs d’identité » accèdent à 2-3 applications fournies par le client  Le portail LemonLDAP::NG joue le rôle de passerelle protocolaire :  interconnexion aux fournisseurs d’identité en SAML  interconnexion aux applications par Reverse-proxy (en-têtes HTTP)  Données personnelles issues des fournisseurs transférées aux applications au cas par cas, suivant ce dont elles ont besoin  État des lieux :  Interconnexion avec le fournisseur d’identité « principal » terminée  Interconnexion avec un second fournisseur prévu dans l’année
24 octobre 2023 - PARIS Identity Days 2023 33 Difficultés rencontrées  Mobilisation des acteurs : fournisseurs d’identité, responsables applicatifs, infrastructure, service de certificats  Fourniture de documents « Contrat de service » aux applicatifs pour normaliser l’interconnexion au SSO  Organisation d’ateliers pour aider les applications à la « SSOisation »
24 octobre 2023 - PARIS Identity Days 2023 34 Bilan  Projet très positif : pour l’utilisateur :  ouverture de nouveaux services applicatifs  amélioration du parcours (pas de ré-authentification) pour les développeurs applicatifs :  externalisation complète de la fonction d’authentification (plus de problématique de changement de mot de passe,…) pour le client :  ouverture de nouveaux services sécurisés (via l’interconnexion SAML) sans stockage de données personnelles  logiciel LemonLDAP::NG open-source, facile à maintenir et faire évoluer
24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de LemonLDAP::NG Identity Days 2023
24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.16.1 (mars 2023)  Meilleure gestion du versioning : passage à Semantic Versioning 2.0.16 → 2.16.1 Majeur.Mineur.Patch  CVE-2023-28862 : faille de sécurité sur le handler AuthBasic avec des 2nd facteurs  BUG : le captcha sur la page de login n’est pas affiché en cas d’erreur de backend d’authentification  Ajout du flag « Secure » au cookie llnglanguage  BUG : prise en compte du paramètre d’URL pour les plugins d’enregistrement de compte et de mise à jour du certificat
24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.16.2 (mai 2023)  Mise à jour de la librairie Jquery-UI  Autoriser un choix d’authentification SSL avec différents backends userDB  BUG : aucune application visible dans le menu pour tous les utilisateurs quand un utilisateur n’a le droit d’en voir aucune  BUG : erreur SAML quand le nameID n’est pas dans la requête  BUG : problème d’affichage dans le plugin checkUser
24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.17 (août 2023)  Ajout des icônes Font awesome pour personnaliser les applications du menu  OIDC : implémentation de la déconnexion back-channel et front-channel  OIDC : configuration de l’attribut utilisé comme pivot  CAS : amélioration du logout  Amélioration du logging des 2nd facteurs  SAML : la vérification de la signature échoue sur RHEL9 + Lasso 2.8.0
24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.17 (août 2023)  Ajout d’une fonction « inNetwork » pour vérifier les IP  Sécurité : redirection autorisée à cause d’une gestion incorrecte de l’échappement sur le point d’entrée userinfo  BUG : le portail ne répond plus lorsqu’un des backends d’authentification est en timeout  divers problèmes d’encodage  Correction d’un BUG dans le cas d’une combinaison Kerberos + SSL  Acceptation des URLs « mobile » comme URLs de callback OIDC (par exemple: teammail.mobile://oidc/callback)  Ajout d’évènements jquery pour webauthn, SSL et Kerberos
24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.17 (août 2023)  Ajout du support Cassandra pour les configurations et les sessions  Possibilité de définir plusieurs classes d’objet pour chercher les groupes LDAP  BUG : erreur lors d’un changement de mot de passe lorsque l’annuaire renvoie PE_PP_CHANGE_AFTER_RESET et que le captcha est activé
24 octobre 2023 - PARIS Identity Days 2023 Merci de votre attention Identity Days 2023
24 octobre 2023 - PARIS Identity Days 2023 Merci à tous nos partenaires ! 24 octobre 2023 - PARIS @IdentityDays #identitydays2022

Recommandé

[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...Worteks
 
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Benoit Mortier
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Clément OUDOT
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Worteks
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 

Recommandé

[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...Worteks
 
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...
Construire-un-moteur-de-workflow-modulaire-et-convivial-dans-une-gestion-des-...Benoit Mortier
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Clément OUDOT
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Worteks
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Identity Days
 
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout Microsoft Technet France
 
MSDays - AppFabric, le middleware disponible aussi en nuage
MSDays - AppFabric, le middleware disponible aussi en nuageMSDays - AppFabric, le middleware disponible aussi en nuage
MSDays - AppFabric, le middleware disponible aussi en nuageMicrosoft Technet France
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a ServiceWorteks
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideIdentity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
 
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...Benoit Mortier
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
 
La gestion des identités hybrides
La gestion des identités hybridesLa gestion des identités hybrides
La gestion des identités hybrides☁️Seyfallah Tagrerout☁ [MVP]
 
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Benoit Mortier
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 

Contenu connexe

Similaire à SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG

Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Identity Days
 
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
MSDays - AppFabric, le middleware disponible aussi en nuage
MSDays - AppFabric, le middleware disponible aussi en nuageMSDays - AppFabric, le middleware disponible aussi en nuage
MSDays - AppFabric, le middleware disponible aussi en nuageMicrosoft Technet France
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a ServiceWorteks
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideIdentity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
 
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...Benoit Mortier
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
 
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Benoit Mortier
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
 

Similaire à SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG (20)

Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
 
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
 
Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout Cloud Hybride, le SSO de bout en bout
Cloud Hybride, le SSO de bout en bout
 
MSDays - AppFabric, le middleware disponible aussi en nuage
MSDays - AppFabric, le middleware disponible aussi en nuageMSDays - AppFabric, le middleware disponible aussi en nuage
MSDays - AppFabric, le middleware disponible aussi en nuage
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...
workflow-api-webservice-synchronisation-comment-construire-une-gestion-des-id...
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
 
La gestion des identités hybrides
La gestion des identités hybridesLa gestion des identités hybrides
La gestion des identités hybrides
 
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
Portrait-de-la-gestion-des-identites-avec-des-logiciels-Libres-en-2023-un-voy...
 
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 
IdentityDays2022 - Se préparer au futur de l’identité
IdentityDays2022 - Se préparer au futur de l’identitéIdentityDays2022 - Se préparer au futur de l’identité
IdentityDays2022 - Se préparer au futur de l’identitéIdentity Days
 
IdentityDays2022 - Gestion des privilèges sur le Cloud Microsoft
IdentityDays2022 - Gestion des privilèges sur le Cloud MicrosoftIdentityDays2022 - Gestion des privilèges sur le Cloud Microsoft
IdentityDays2022 - Gestion des privilèges sur le Cloud MicrosoftIdentity Days
 

Plus de Identity Days (19)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
 
IdentityDays2022 - Se préparer au futur de l’identité
IdentityDays2022 - Se préparer au futur de l’identitéIdentityDays2022 - Se préparer au futur de l’identité
IdentityDays2022 - Se préparer au futur de l’identité
 
IdentityDays2022 - Gestion des privilèges sur le Cloud Microsoft
IdentityDays2022 - Gestion des privilèges sur le Cloud MicrosoftIdentityDays2022 - Gestion des privilèges sur le Cloud Microsoft
IdentityDays2022 - Gestion des privilèges sur le Cloud Microsoft
 

SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG

  • 1. 24 octobre 2023 - PARIS Identity Days 2023 Merci à tous nos partenaires ! 24 octobre 2023 - PARIS @IdentityDays #identitydays2022
  • 2. 24 octobre 2023 - PARIS Identity Days 2023 David Coutadeur Identity Days 2023 SSO et fédération d'identités avec le logiciel libre LemonLDAP::NG, retour d'expérience d'un client
  • 3. 24 octobre 2023 - PARIS Identity Days 2023 David Coutadeur Architecte en gestion d’identité Ordre du jour Identity Days 2023 1. Présentation 2. Présentation de LemonLDAP::NG 3. Mise en place chez [client] 4. Nouveautés de LemonLDAP::NG
  • 4. 24 octobre 2023 - PARIS Identity Days 2023 Présentation Identity Days 2023
  • 5. 24 octobre 2023 - PARIS Identity Days 2023 David COUTADEUR architecte en gestion d’identité ~10 ans d’expérience dans le domaine passionné d’open-source david.coutadeur@worteks.com @dcoutadeur@toot.aquilenet.fr www.linkedin.com/in/david-coutadeur-06571a1a4 Intervenants
  • 6. 24 octobre 2023 - PARIS Identity Days 2023 Worteks (vɔʁ.tɛks) Service Infrastructures complexes, cloud, mail, authentification, sécurité,...  Études, audit & consulting  Expertise technique  Support  Formation  R&D et innovation Édition Portail collaboratif Plateforme de développement commune Gestion des identités et des accès Partenaires
  • 7. 24 octobre 2023 - PARIS Identity Days 2023 All we need is you! https://www.worteks.com/rejoindre/
  • 8. 24 octobre 2023 - PARIS Identity Days 2023 Présentation de LemonLDAP::NG Identity Days 2023
  • 9. 24 octobre 2023 - PARIS Identity Days 2023 SSO Workflow Portail d’authentification Application 2. Authentification 1. Premier accès 3. Envoi du jeton SSO Lien de confiance 4. Validation du jeton SSO
  • 10. 24 octobre 2023 - PARIS Identity Days 2023 Historique 2003 2006 2010 2016 2018 Création du projet Fork – version NG Protocoles CAS, SAML et OpenID version 1.0 Protocole OpenID Connect Second facteurs (2FA) version 2.0
  • 11. 24 octobre 2023 - PARIS Identity Days 2023 Principales fonctionnalités SSO & Contrôle d’accès Menu des applications CAS / SAML / OIDC Gestion du mot de passe Personnalisation graphique Second facteurs (2FA)
  • 12. 24 octobre 2023 - PARIS Identity Days 2023 Interfaces Formulaire d’authentification Menu des applications Interface d’administration
  • 13. 24 octobre 2023 - PARIS Identity Days 2023 Interface CLI
  • 14. 24 octobre 2023 - PARIS Identity Days 2023 Logiciel libre  Licence GPL  Projet OW2  Forge: https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng  Site: https://lemonldap-ng.org  « OW2 Community Award in 2014 »  Composant SSO du projet FusionIAM : https://fusioniam.org/
  • 15. 24 octobre 2023 - PARIS Identity Days 2023 Rôles des composants Configurations Sessions Portail Manager Handler Menu des applications CAS SAML OpenID Connect Self Services Serveur SOAP/REST Gestion des sessions Configurations Sessions Notifications Second facteurs Contrôle d’accès SSOaaS Web Service Token Personnalisé
  • 16. 24 octobre 2023 - PARIS Identity Days 2023 Application web protégée par handler Sessions Portail Handler Application web Authentification Création de session Lecture de session cookie SSO en-têtes HTTP
  • 17. 24 octobre 2023 - PARIS Identity Days 2023 CAS  Créé par l’université de Yale  « Central Authentication Service »  Mode proxy depuis la v2.0  Partage d’attributs depuis la v3.0  https://www.apereo.org/projects/cas
  • 18. 24 octobre 2023 - PARIS Identity Days 2023 Client CAS Serveur CAS Premier accès Redirection pour authentification Ticket de service Ticket de service Validation du ticket de service Accès à l’identité CAS
  • 19. 24 octobre 2023 - PARIS Identity Days 2023 SAML  Créé par l’organisation OASIS  « Security Assertion Markup Language »  Version 1.0 en 2002  Version 1.1 en 2003  Version 2.0 en 2005, fusionnant SAML, Shibboleth et ID- FF (Liberty Alliance)
  • 20. 24 octobre 2023 - PARIS Identity Days 2023 Fournisseur de Service (SP) Fournisseur d’Identité (IdP) premier accès choix de l’IdP requête d’authentification réponse d’authentification réponse d’authentification vérification de signature lecture de l’assertion SAML
  • 21. 24 octobre 2023 - PARIS Identity Days 2023 OpenID Connect  Créé en 2014  Présenté aux RMLL en 2015  Basé sur OAuth 2.0, REST, JSON, JWT, JOSE  Adapté aux navigateurs web et aux applications mobiles natives  Partage d’attributs via le point d’entrée UserInfo
  • 22. 24 octobre 2023 - PARIS Identity Days 2023 Relying Party (RP) Fournisseur OpenID Connect (OP) premier accès choix de l’OP requête d’authentification JWT JWT vérification de la signature lecture du JWT récupération UserInfo OpenID Connect
  • 23. 24 octobre 2023 - PARIS Identity Days 2023 Second Facteur d’Authentification (2FA)  LemonLDAP::NG peut utiliser les 2FA suivants :  TOTP  WebAuthn  Mail  External (SMS)  REST  Yubikey  Radius
  • 24. 24 octobre 2023 - PARIS Identity Days 2023 RENATER / eduGAIN  Support de RENATER / eduGAIN via SAML2 :  Fournisseur de Service  Fournisseur d’Identité  Appel à la page de sélection du Fournisseur d’Identité (WAYF) via « SAML Discovery Protocol »  Script d’import en masse des métadonnées
  • 25. 24 octobre 2023 - PARIS Identity Days 2023 Moteur de plugins  Le portail a été complètement réécrit, et il permet maintenant le développement de plugins  Exemples de plugins fournis par défaut :  Auto Signin : authentification directe pour certaines IP  Brute Force : protection contre les attaques par force brute  Stay Connected : bouton « se souvenir de moi »  Public Pages : créer des pages statiques utilisant le thème du portail  Comment écrire son plugin ? https://lemonldap-ng.org/documentation/latest/plugincustom
  • 26. 24 octobre 2023 - PARIS Identity Days 2023 Politique de mots de passe  LemonLDAP peut s’appuyer sur la politique de mot de passe de l’annuaire  Une politique de mots de passe locale peut maintenant être configurée (taille minimale, type de caractères,...)  Un formulaire graphique montre quel critère est rempli
  • 27. 24 octobre 2023 - PARIS Identity Days 2023 Documentation et site web  La documentation a été réécrite en Sphinx (reStructuredText)  Le site web a été reconstruit en pages statiques avec Templer
  • 28. 24 octobre 2023 - PARIS Identity Days 2023 Se tenir informé sur LL::NG  Inscription sur la mailing-list lemonldap-ng-announces : https://mail.ow2.org/wws/subscribe/lemonldap-ng-announces  Suivre les mises à jour du projet : https://projects.ow2.org/bin/view/lemonldap-ng/  Notes de mise à jour : https://lemonldap-ng.org/documentation/latest/upgrade.html  Réseaux sociaux :  Twitter: https://twitter.com/lemonldapng/  Facebook: https://www.facebook.com/lemonldapng/
  • 29. 24 octobre 2023 - PARIS Identity Days 2023 Mise en place chez [client] Identity Days 2023
  • 30. 24 octobre 2023 - PARIS Identity Days 2023 30 Architecture
  • 31. 24 octobre 2023 - PARIS Identity Days 2023 31 Démarche  Étude comparative Keycloak vs LemonLDAP::NG  sélection de LemonLDAP::NG. Critères déterminants :  gestion intégrée des applications protégées par en-têtes HTTP  pas de stockage des données utilisateurs dans un contexte de pure fédération (respect de la RGPD)  support du produit  logiciel souverain  Mise en place de l’environnement de qualification  Mise en place de l’environnement de préproduction  Mise en place de l’environnement de production
  • 32. 24 octobre 2023 - PARIS Identity Days 2023 32 État des lieux  Cas d’usage : utilisateurs issus des différents « Fournisseurs d’identité » accèdent à 2-3 applications fournies par le client  Le portail LemonLDAP::NG joue le rôle de passerelle protocolaire :  interconnexion aux fournisseurs d’identité en SAML  interconnexion aux applications par Reverse-proxy (en-têtes HTTP)  Données personnelles issues des fournisseurs transférées aux applications au cas par cas, suivant ce dont elles ont besoin  État des lieux :  Interconnexion avec le fournisseur d’identité « principal » terminée  Interconnexion avec un second fournisseur prévu dans l’année
  • 33. 24 octobre 2023 - PARIS Identity Days 2023 33 Difficultés rencontrées  Mobilisation des acteurs : fournisseurs d’identité, responsables applicatifs, infrastructure, service de certificats  Fourniture de documents « Contrat de service » aux applicatifs pour normaliser l’interconnexion au SSO  Organisation d’ateliers pour aider les applications à la « SSOisation »
  • 34. 24 octobre 2023 - PARIS Identity Days 2023 34 Bilan  Projet très positif : pour l’utilisateur :  ouverture de nouveaux services applicatifs  amélioration du parcours (pas de ré-authentification) pour les développeurs applicatifs :  externalisation complète de la fonction d’authentification (plus de problématique de changement de mot de passe,…) pour le client :  ouverture de nouveaux services sécurisés (via l’interconnexion SAML) sans stockage de données personnelles  logiciel LemonLDAP::NG open-source, facile à maintenir et faire évoluer
  • 35. 24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de LemonLDAP::NG Identity Days 2023
  • 36. 24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.16.1 (mars 2023)  Meilleure gestion du versioning : passage à Semantic Versioning 2.0.16 → 2.16.1 Majeur.Mineur.Patch  CVE-2023-28862 : faille de sécurité sur le handler AuthBasic avec des 2nd facteurs  BUG : le captcha sur la page de login n’est pas affiché en cas d’erreur de backend d’authentification  Ajout du flag « Secure » au cookie llnglanguage  BUG : prise en compte du paramètre d’URL pour les plugins d’enregistrement de compte et de mise à jour du certificat
  • 37. 24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.16.2 (mai 2023)  Mise à jour de la librairie Jquery-UI  Autoriser un choix d’authentification SSL avec différents backends userDB  BUG : aucune application visible dans le menu pour tous les utilisateurs quand un utilisateur n’a le droit d’en voir aucune  BUG : erreur SAML quand le nameID n’est pas dans la requête  BUG : problème d’affichage dans le plugin checkUser
  • 38. 24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.17 (août 2023)  Ajout des icônes Font awesome pour personnaliser les applications du menu  OIDC : implémentation de la déconnexion back-channel et front-channel  OIDC : configuration de l’attribut utilisé comme pivot  CAS : amélioration du logout  Amélioration du logging des 2nd facteurs  SAML : la vérification de la signature échoue sur RHEL9 + Lasso 2.8.0
  • 39. 24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.17 (août 2023)  Ajout d’une fonction « inNetwork » pour vérifier les IP  Sécurité : redirection autorisée à cause d’une gestion incorrecte de l’échappement sur le point d’entrée userinfo  BUG : le portail ne répond plus lorsqu’un des backends d’authentification est en timeout  divers problèmes d’encodage  Correction d’un BUG dans le cas d’une combinaison Kerberos + SSL  Acceptation des URLs « mobile » comme URLs de callback OIDC (par exemple: teammail.mobile://oidc/callback)  Ajout d’évènements jquery pour webauthn, SSL et Kerberos
  • 40. 24 octobre 2023 - PARIS Identity Days 2023 Nouveautés de la version 2.17 (août 2023)  Ajout du support Cassandra pour les configurations et les sessions  Possibilité de définir plusieurs classes d’objet pour chercher les groupes LDAP  BUG : erreur lors d’un changement de mot de passe lorsque l’annuaire renvoie PE_PP_CHANGE_AFTER_RESET et que le captcha est activé
  • 41. 24 octobre 2023 - PARIS Identity Days 2023 Merci de votre attention Identity Days 2023
  • 42. 24 octobre 2023 - PARIS Identity Days 2023 Merci à tous nos partenaires ! 24 octobre 2023 - PARIS @IdentityDays #identitydays2022