SlideShare une entreprise Scribd logo
1  sur  39
Installation d’un fournisseur d’identités Shibboleth CRU / UNR Paris 18 juin 2007, Paris 5 Olivier Salaün, Mehdi Hached, Florent Guilleux
Programme ,[object Object],[object Object],[object Object],[object Object],[object Object]
Etapes de la formation ,[object Object],[object Object],[object Object],[object Object]
Organisation des travaux pratiques ,[object Object],[object Object],[object Object],[object Object]
Introduction à Shibboleth
Avant c’était la zone… ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Sympa Moodle Université C Moodle Thèses Bibliothèque B Fond docu. Périodiques Contrôle d’accès Ressource Gestion utilisateurs  /  Authentification Université A Copyright  SWITCHaai
Avec le SSO, c’était un peu mieux Sympa Moodle Université C Moodle Thèses Bibliothèque B Fond docu. Périodiques Contrôle d’accès Ressource Gestion utilisateurs  /  Authentification Université A Copyright  SWITCHaai
Avec le SSO, c’était un peu mieux ,[object Object],[object Object],Sympa Moodle Université C Moodle Thèses Bibliothèque B Fond docu. Périodiques Contrôle d’accès Ressource Gestion utilisateurs  /  Authentification Université A Copyright  SWITCHaai SSO SSO
Heureusement, la fédération est arrivée ! Sympa Moodle Université C Moodle Thèses Bibliothèque B Fond docu. Périodiques Contrôle d’accès Ressource Gestion utilisateurs  /  Authentification Université A Copyright  SWITCHaai SSO SSO
Heureusement, la fédération est arrivée ! ,[object Object],[object Object],[object Object],[object Object],Sympa Moodle Université C Moodle Thèses Bibliothèque B Fond docu. Périodiques Contrôle d’accès Ressource Gestion utilisateurs  /  Authentification Université A Copyright  SWITCHaai SSO SSO
Fonctionnement de Shibboleth : première requête vers un fournisseur de services (SP) Navigateur Fournisseur d’identités (IdP) Fournisseur de services (SP)
Fonctionnement de Shibboleth : première requête vers un fournisseur de services (SP) Navigateur Fournisseur d’identités (IdP) Fournisseur de services (SP) userId password nameId nameId nameId attributes
Fonctionnement de Shibboleth : point de vue de l’utilisateur Navigateur Fournisseur d’identités (IdP) Fournisseur de services (SP) userId password 1 2 3 4
Fonctionnement de Shibboleth : requêtes suivantes vers le même fournisseur de services (SP) Navigateur Fournisseur d’identités (IdP) Fournisseur de services (SP)
Architecture logique du SP Fournisseur de service Navigateur Fournisseur d’identités (IdP) attributes nameId userId password nameId nameId attributes Consommateur d’assertions Demandeur d’attributs Contrôleur d’accès Ressource
Architecture logique de l’IdP Fournisseur d’identités Service  d’authentification  Autorité d’authentification Autorité  d’attributs  nameId attributes userId Consommateur d’assertions Demandeur d’attributs Contrôleur d’accès Ressource Navigateur attributes nameId nameId nameId userId password userId attributes Référentiel utilisateurs Base d’authentification
Installation des briques Shibboleth ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Navigateur Fournisseur de service Fournisseur d’identités
Intégration dans le SI d’un fournisseur d’identités Navigateur Service  d’authentification  Autorité d’authentification Autorité  d’attributs  Référentiel utilisateurs Serveur SSO Fournisseur de service userId ticket attributes userId nameId nameId
Connexion avec le  système d’authentification ,[object Object],[object Object],[object Object],[object Object],[object Object],Navigateur Service  d’authentification  Autorité d’authentification Autorité  d’attributs  Référentiel utilisateurs Serveur SSO Fournisseur de service userId ticket attributes userId nameId nameId
Diffusion d’attributs
[object Object],[object Object],[object Object],[object Object]
Connexion avec le référentiel utilisateurs ,[object Object],[object Object],[object Object],[object Object],Navigateur Service  d’authentification  Autorité d’authentification Autorité  d’attributs  Référentiel utilisateurs Serveur SSO Fournisseur de service userId ticket attributes userId nameId nameId
Contrôle de la diffusion des attributs utilisateur ,[object Object],[object Object],[object Object],[object Object],Navigateur Service  d’authentification  Autorité d’authentification Autorité  d’attributs  Référentiel utilisateurs Serveur SSO Fournisseur de service userId ticket attributes userId nameId ARP nameId
Exemple d’attributs diffusés ,[object Object],[object Object],[object Object],[object Object],[object Object],Navigateur Service  d’authentification  Autorité d’authentification Autorité  d’attributs  Référentiel utilisateurs Serveur SSO Fournisseur de service C userId ticket attributes userId nameId ARP nameId Fournisseur de service B Fournisseur de service A
[object Object],[object Object],[object Object],[object Object],[object Object]
resolver.xml <AttributeResolver xmlns: ... > < SimpleAttributeDefinition id=&quot;urn:mace:dir:attribute-def:givenName&quot;> <DataConnectorDependency requires=&quot; data_base &quot; /> </SimpleAttributeDefinition> < SimpleAttributeDefinition  id=&quot;urn:mace:cru.fr:attribute-def:supannOrganisme&quot;> <DataConnectorDependency requires=&quot; supann-test &quot;/> </SimpleAttributeDefinition> ... < JDBCDataConnector  id=&quot; data_base &quot; minResultSet=&quot;1&quot; maxResultSet=&quot;1&quot; propagateErrors=&quot;true&quot; dbURL=&quot;jdbc:mysql://database.univ-test.fr/test-shib?user=shibboleth&quot; dbDriver=&quot;com.mysql.jdbc.Driver&quot; maxActive=&quot;10&quot; maxIdle=&quot;5&quot;>   <Query>SELECT name AS givenName FROM shibboleth WHERE name=?</Query> </JDBCDataConnector>   < JNDIDirectoryDataConnector  id=&quot; supann-test &quot;> <Search filter=&quot;uid=%PRINCIPAL%&quot;>   <Controls searchScope=&quot;SUBTREE_SCOPE&quot; returningObjects=&quot;false&quot; /> </Search>   <Property name=&quot;java.naming.factory.initial&quot; value=&quot;com.sun.jndi.ldap.LdapCtxFactory&quot; />   <Property name=&quot;java.naming.provider.url&quot; value=&quot;ldap://ldap.cru.fr/ou=people,dc=univ-test,dc=fr&quot;/> </JNDIDirectoryDataConnector> </AttributeResolver>
Les différents types d'attributs possibles ,[object Object],[object Object],[object Object],[object Object],[object Object],Comment se passe le transfert des attributs vers le SP ? La requête du SP contient simplement les noms des attributs demandés en se basant sur le champs id contenant obligatoirement une URN dans la balise de définition de l'attribut : <SimpleAttributeDefinition  id =&quot; urn:mace:dir:attribute-def:givenName &quot;>
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Comment définir les règles qui déterminent quelles attributs fournir aux SP ?
Comment définir les règles qui déterminent quelles attributs fournir aux SP ? Transfert d'un attribut à tout SP: <Attribute name=&quot; urn:mace:dir:attribute-def:eduPersonPrincipalName &quot;> < AnyValue  release=&quot; Permit &quot;> </Attribute> Transfert d'un attribut interdit pour un pour une valeur donnée : <Attribute name=&quot; urn:mace:dir:attribute-def:eduPersonScopedAffiliation &quot;> < Value  release=&quot; deny &quot;>member@example.edu</Value> </Attribute>
Quelle politique de fourniture d'attributs établir ? ,[object Object],[object Object],[object Object],[object Object]
Conclusion
Mise en production d'un fournisseur d'identités ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Obligations de la convention ,[object Object],[object Object],[object Object],[object Object],[object Object]
La fédération du CRU est un cadre technique et organisationnel  ,[object Object],[object Object],[object Object]
Les membres de la fédération du CRU ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
A venir... ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Évolutions de la fédération du CRU ,[object Object],[object Object],[object Object],[object Object],[object Object]
Shibboleth 2.0 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Les applications compatibles ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Contenu connexe

En vedette

Fotos Curiosas
Fotos CuriosasFotos Curiosas
Fotos Curiosas
JNR
 
Informe final tarea 3 grupo 4
Informe final  tarea 3 grupo 4Informe final  tarea 3 grupo 4
Informe final tarea 3 grupo 4
Vane Torres
 
Anexo 7 guía herramienta micromundos
Anexo 7 guía herramienta micromundosAnexo 7 guía herramienta micromundos
Anexo 7 guía herramienta micromundos
Vane Torres
 

En vedette (18)

Actividad 2
Actividad 2Actividad 2
Actividad 2
 
Código Antifraude ISA S.A. E.S.P
Código Antifraude ISA S.A. E.S.PCódigo Antifraude ISA S.A. E.S.P
Código Antifraude ISA S.A. E.S.P
 
Fotos Curiosas
Fotos CuriosasFotos Curiosas
Fotos Curiosas
 
Presentación actuar con integridad y liderar con el ejemplo
Presentación actuar con integridad y liderar con el ejemploPresentación actuar con integridad y liderar con el ejemplo
Presentación actuar con integridad y liderar con el ejemplo
 
Capacitacion blog
Capacitacion blogCapacitacion blog
Capacitacion blog
 
Redynamiser nos ventes
Redynamiser nos ventesRedynamiser nos ventes
Redynamiser nos ventes
 
Modelo de Contratación Social EPM
Modelo de Contratación Social EPMModelo de Contratación Social EPM
Modelo de Contratación Social EPM
 
Surfer en toute sécurité
Surfer en toute sécuritéSurfer en toute sécurité
Surfer en toute sécurité
 
El Combo Triple A llega a Tu Barrio - EMSERFUSA
El Combo Triple A llega a Tu Barrio - EMSERFUSAEl Combo Triple A llega a Tu Barrio - EMSERFUSA
El Combo Triple A llega a Tu Barrio - EMSERFUSA
 
Construcciones
ConstruccionesConstrucciones
Construcciones
 
Pueba de hipótesis. Mayhuasca Ronald
Pueba de hipótesis. Mayhuasca RonaldPueba de hipótesis. Mayhuasca Ronald
Pueba de hipótesis. Mayhuasca Ronald
 
Les futures élections régionales en Nord-Pas-de-Calais / Picardie - Le Figaro...
Les futures élections régionales en Nord-Pas-de-Calais / Picardie - Le Figaro...Les futures élections régionales en Nord-Pas-de-Calais / Picardie - Le Figaro...
Les futures élections régionales en Nord-Pas-de-Calais / Picardie - Le Figaro...
 
Informe final tarea 3 grupo 4
Informe final  tarea 3 grupo 4Informe final  tarea 3 grupo 4
Informe final tarea 3 grupo 4
 
GMC GR 2015 - FR
GMC GR 2015 - FRGMC GR 2015 - FR
GMC GR 2015 - FR
 
Innocup l’instant vidéo
Innocup   l’instant vidéoInnocup   l’instant vidéo
Innocup l’instant vidéo
 
Anexo 7 guía herramienta micromundos
Anexo 7 guía herramienta micromundosAnexo 7 guía herramienta micromundos
Anexo 7 guía herramienta micromundos
 
Práctica XIII: Apertura y comunicaciones a través de redes sociales Cens
Práctica XIII: Apertura y comunicaciones a través de redes sociales CensPráctica XIII: Apertura y comunicaciones a través de redes sociales Cens
Práctica XIII: Apertura y comunicaciones a través de redes sociales Cens
 
En que mundo vivimos
En que mundo vivimosEn que mundo vivimos
En que mundo vivimos
 

Similaire à Presentation 18 06 2007

Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Microsoft
 
Introductions Aux Servlets
Introductions Aux ServletsIntroductions Aux Servlets
Introductions Aux Servlets
François Charoy
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
Clément OUDOT
 
BordeauxJUG : Portails &amp; Portlets Java
BordeauxJUG : Portails &amp; Portlets JavaBordeauxJUG : Portails &amp; Portlets Java
BordeauxJUG : Portails &amp; Portlets Java
Camblor Frédéric
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
CERTyou Formation
 

Similaire à Presentation 18 06 2007 (20)

Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
 
Introductions Aux Servlets
Introductions Aux ServletsIntroductions Aux Servlets
Introductions Aux Servlets
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions
 
Sayeh hiba-karaa-eya-ferjani-maroua-hamzaoui-balkiss-sys-complexes
Sayeh hiba-karaa-eya-ferjani-maroua-hamzaoui-balkiss-sys-complexesSayeh hiba-karaa-eya-ferjani-maroua-hamzaoui-balkiss-sys-complexes
Sayeh hiba-karaa-eya-ferjani-maroua-hamzaoui-balkiss-sys-complexes
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium Paris
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML  concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML  concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
 
Label cloud - Présentation
Label cloud - PrésentationLabel cloud - Présentation
Label cloud - Présentation
 
INVENTY - Ca veut dire quoi OPTIMISER le cycle de vie utilisateur ?
INVENTY - Ca veut dire quoi OPTIMISER le cycle de vie utilisateur ?INVENTY - Ca veut dire quoi OPTIMISER le cycle de vie utilisateur ?
INVENTY - Ca veut dire quoi OPTIMISER le cycle de vie utilisateur ?
 
Securité des applications web
Securité des applications webSecurité des applications web
Securité des applications web
 
Formation PHP avancé - Cake PHP
Formation PHP avancé - Cake PHPFormation PHP avancé - Cake PHP
Formation PHP avancé - Cake PHP
 
La fédération d'identité, quels avantages pour mon SharePoint - Marocco Share...
La fédération d'identité, quels avantages pour mon SharePoint - Marocco Share...La fédération d'identité, quels avantages pour mon SharePoint - Marocco Share...
La fédération d'identité, quels avantages pour mon SharePoint - Marocco Share...
 
BordeauxJUG : Portails &amp; Portlets Java
BordeauxJUG : Portails &amp; Portlets JavaBordeauxJUG : Portails &amp; Portlets Java
BordeauxJUG : Portails &amp; Portlets Java
 
ASP.NET from Zero to Hero
ASP.NET from Zero to HeroASP.NET from Zero to Hero
ASP.NET from Zero to Hero
 
LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008
 
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
 
14.4 tout ce que vous voulez savoir sur l'authentification par revendications
14.4   tout ce que vous voulez savoir sur l'authentification par revendications14.4   tout ce que vous voulez savoir sur l'authentification par revendications
14.4 tout ce que vous voulez savoir sur l'authentification par revendications
 

Presentation 18 06 2007

  • 1. Installation d’un fournisseur d’identités Shibboleth CRU / UNR Paris 18 juin 2007, Paris 5 Olivier Salaün, Mehdi Hached, Florent Guilleux
  • 2.
  • 3.
  • 4.
  • 6.
  • 7. Avec le SSO, c’était un peu mieux Sympa Moodle Université C Moodle Thèses Bibliothèque B Fond docu. Périodiques Contrôle d’accès Ressource Gestion utilisateurs / Authentification Université A Copyright SWITCHaai
  • 8.
  • 9. Heureusement, la fédération est arrivée ! Sympa Moodle Université C Moodle Thèses Bibliothèque B Fond docu. Périodiques Contrôle d’accès Ressource Gestion utilisateurs / Authentification Université A Copyright SWITCHaai SSO SSO
  • 10.
  • 11. Fonctionnement de Shibboleth : première requête vers un fournisseur de services (SP) Navigateur Fournisseur d’identités (IdP) Fournisseur de services (SP)
  • 12. Fonctionnement de Shibboleth : première requête vers un fournisseur de services (SP) Navigateur Fournisseur d’identités (IdP) Fournisseur de services (SP) userId password nameId nameId nameId attributes
  • 13. Fonctionnement de Shibboleth : point de vue de l’utilisateur Navigateur Fournisseur d’identités (IdP) Fournisseur de services (SP) userId password 1 2 3 4
  • 14. Fonctionnement de Shibboleth : requêtes suivantes vers le même fournisseur de services (SP) Navigateur Fournisseur d’identités (IdP) Fournisseur de services (SP)
  • 15. Architecture logique du SP Fournisseur de service Navigateur Fournisseur d’identités (IdP) attributes nameId userId password nameId nameId attributes Consommateur d’assertions Demandeur d’attributs Contrôleur d’accès Ressource
  • 16. Architecture logique de l’IdP Fournisseur d’identités Service d’authentification Autorité d’authentification Autorité d’attributs nameId attributes userId Consommateur d’assertions Demandeur d’attributs Contrôleur d’accès Ressource Navigateur attributes nameId nameId nameId userId password userId attributes Référentiel utilisateurs Base d’authentification
  • 17.
  • 18. Intégration dans le SI d’un fournisseur d’identités Navigateur Service d’authentification Autorité d’authentification Autorité d’attributs Référentiel utilisateurs Serveur SSO Fournisseur de service userId ticket attributes userId nameId nameId
  • 19.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26. resolver.xml <AttributeResolver xmlns: ... > < SimpleAttributeDefinition id=&quot;urn:mace:dir:attribute-def:givenName&quot;> <DataConnectorDependency requires=&quot; data_base &quot; /> </SimpleAttributeDefinition> < SimpleAttributeDefinition id=&quot;urn:mace:cru.fr:attribute-def:supannOrganisme&quot;> <DataConnectorDependency requires=&quot; supann-test &quot;/> </SimpleAttributeDefinition> ... < JDBCDataConnector id=&quot; data_base &quot; minResultSet=&quot;1&quot; maxResultSet=&quot;1&quot; propagateErrors=&quot;true&quot; dbURL=&quot;jdbc:mysql://database.univ-test.fr/test-shib?user=shibboleth&quot; dbDriver=&quot;com.mysql.jdbc.Driver&quot; maxActive=&quot;10&quot; maxIdle=&quot;5&quot;> <Query>SELECT name AS givenName FROM shibboleth WHERE name=?</Query> </JDBCDataConnector> < JNDIDirectoryDataConnector id=&quot; supann-test &quot;> <Search filter=&quot;uid=%PRINCIPAL%&quot;> <Controls searchScope=&quot;SUBTREE_SCOPE&quot; returningObjects=&quot;false&quot; /> </Search> <Property name=&quot;java.naming.factory.initial&quot; value=&quot;com.sun.jndi.ldap.LdapCtxFactory&quot; /> <Property name=&quot;java.naming.provider.url&quot; value=&quot;ldap://ldap.cru.fr/ou=people,dc=univ-test,dc=fr&quot;/> </JNDIDirectoryDataConnector> </AttributeResolver>
  • 27.
  • 28.
  • 29. Comment définir les règles qui déterminent quelles attributs fournir aux SP ? Transfert d'un attribut à tout SP: <Attribute name=&quot; urn:mace:dir:attribute-def:eduPersonPrincipalName &quot;> < AnyValue release=&quot; Permit &quot;> </Attribute> Transfert d'un attribut interdit pour un pour une valeur donnée : <Attribute name=&quot; urn:mace:dir:attribute-def:eduPersonScopedAffiliation &quot;> < Value release=&quot; deny &quot;>member@example.edu</Value> </Attribute>
  • 30.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.