4. FÉDÉRATION D’IDENTITÉ
► Fédérerles identités
o Unehistoire de «Confiance»
► Plusieurs technologies(Listenonexhaustive)
o WS-Federation et composants associés (WS-*)
o SAML 1.1, 2.0
o Oauth 2.0 + OpenID Connect
o OpenID 2.0
6. SAML
► SouslaresponsabilitédeOASIS
o Mai 2005
o Basé sur l’échange demessages XML
► Service Provider
o Protège l’accès aux services
o Redirige les requêtes vers IDP si nonauthentifiées
► IdentityProvider
o Authentifie l’utilisateur
o Récupèreles informations relatives
► DiscoveryService
o Présentation de la liste les domaines disponibles à l’utilisateur
o Uniquementdans le cadre d’unefédération inter domaines
7. SAML V2 - PROFILES
► WebBrowserSSOProfile(décriten détailensuite)
o Le plus utilisé
o Authentification à des applications Web
o Single Sign On
► EnhancedClient andProxyProfile - ECP
o Des composants logiciels compatibles SAML présents sur les équipements
o Réalisé directement avec des messages SOAP entrele client et l’IdP etentre le client etle SP
o Utile dans le cas où le client ne supporte pas les redirections (e.g. unclient qui n’estpas unnavigateur)
► SingleLogout(décrit en détail ensuite)
o Déconnexion rapide en unefois detous les participants
8. SAML 2.0 PROFILE «WEB BROWER SSO» - POST - NORMAL
► Connexion àunressourceprotégéeparunService Provider
o 1. Tentative d’accès à la ressource
o 2.Si nonauthentifiée, envoi d’uneredirection vers IdP
o 3. Requête IdP
o 4.Demanded’authentification par IdP
o 5. Authentificationvers IdP
o 6.Si OK, IdP répond avec une«assertion» SAML etredirige l’utilisateur vers la
ressource demandée
o 7.L’utilisateur accèdeà la ressource
9. SAML 2.0 PROFILE «SINGLE LOGOUT»
► Situationinitiale: L’utilisateurestauthentifiéetaaccès auxressourcesprotégées
parleService ProviderA et B
o 1.Demandede logout global au SP A
o 2.Redirection vers IdP
o 3.Redirection vers IdP
o 4.Logout Request au SP B
o 5.Logout Response vers IdP
o 6.Logout Response via redirection
o 7.Logout Response via redirection
o 8.Logged out
10. SÉCURITÉ SAML
► XMLEnc
o Garantie deconfidentialité des messages entreSP, IDP et utilisateur
o Utilise le certificat dechiffrement du destinataire
o Indépendant de la sécuritédu canal
► XMLSig
o Garantie d’origine, d’intégritédes messages entre SP et IDP
o Avec la clé privéede signature de l’émetteur
o Indépendant de la sécuritédu canal
► HTTP(s) / SOAP
o Transport
o Web Services
15. IMPLÉMENTER UN SERVICE PROVIDER AVEC BIG-IP (1/2)
► PHASE1 :Créationdu Service Provider
o Entity ID
o RelayState (Optionnel)
o Paramètres desécurité
• Signaturedes SAMLRequest etAssertion
• Chiffrement des Assertion
o Exporter les Metadata du SP
• Etles donner à l’IDP
15
<?xml version="1.0" encoding="UTF-8" ?>
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" ID="I3987ce695a1ad
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:ds="http://www.w3.org/20
xpertsolutions.com">
<SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSi
protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor>
<ds:KeyInfo>
ozSFVSZ+XlI=</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<NameIDFormat>urn:oasis:names:tc:SAML:
<AssertionConsumerService Binding="urn:o
Location="https://demo-saml2.e-xpertsolutions.com/saml/sp/profile/post/acs" index="
</AssertionConsumerService>
<SingleLogoutService Binding="urn:oasis:na
Location="https://demo-saml2.e-xpertsolutions.com/saml/sp/profile/post/sls" Respons
xpertsolutions.com/saml/sp/profile/post/slr" isDefault="true">
</SingleLogoutService>
</SPSSODescriptor>
</EntityDescriptor>
16. IMPLÉMENTER UN SERVICE PROVIDER AVEC BIG-IP (2/2)
► PHASE2 : DéfinitiondeconnecteursIDP
o Importdes metadata de l’IDP
o Ou création manuelle
o Création des Bindings
► IDPAutomation
o Création auto des connecteurs IDP
o Get Metadata via HTTP(s)
16
17. IDP AUTOMATION : EXEMPLE D’IMPLÉMENTATION
► Automatise
o ConnecteursIDP
o Bindings
► Crawler
o Authmutuelle(option)
o Basic / Client Certificate
o http/https
17
BIG-IP ASM+APM
ldap
Metadata crawler
http
Import metadata file
Updatemetadata file
Business
partner
connect
32. INTÉGRATION IDP SUISSEID
► F5 APM as Service Provider
► IDP SuisseID de la Poste
► SSO Kerberos (Constraint
Delegation/Protocol Transition)
Customer site
BIG-IP LTM
BIG-IP ASM+APM
Kerberos
Service Provider
IDP SuisseID
36. 36
INTÉGRATION ELCARD : SAML PROXY (2/2)
Service
Provider X
Identity
Provider
Service
Provider X
SAMLRequest SAML Assertion RessourceSingle Sign On
Authentification
Elcard
Autorisation
Service
Provider X
SAML Proxy
Identity
Provider Y
SAMLRequest SAMLRequest SAML ProxySAML Assertion
Authentification
Service
Provider X
Authentification
Elcard
SAML Assertion
38. VALEUR AJOUTÉE E-XPERT
► Compétences techniques pointues sur les solutions F5
► Fortes Connaissances dans le domaine de la Fédération
d’identité
► Capable d’avoir la vision d’ensemble et de comprendre les
besoins
► Nombreuses compétences et connaissances connexes
► Forte aptitude au Troubleshooting
38
39. LA COLLABORATION ELCA / E-XPERT
► Excellent niveau d’expertise et de connaissances de chaque coté
► Bonne Complémentarité des profils d’ingénieurs
► Capacité de fournir une offre complète allant :
DU DESIGN A L’IMPLEMENTATION
39
40. MERCIDE VOTRE ATTENTION
Yann Desmarest
Innovation Center Manager
tel. +41 22 727 05 55
yann.desmarest@e-xpertsolutions.com
www.e-xpertsolutions.com
Yoann Le Corvic
Senior Security Engineer / ISO 27001 Lead Auditor
tel. +41 22 727 05 55
yoann.lecorvic@e-xpertsolutions.com
www.e-xpertsolutions.com
Notes de l'éditeur
SP-Initiated – Redirect GET ou POST
Support saml 2.0
Module APM
Irules pour customisation