Le document présente une comparaison des protocoles d'authentification unique tels que CAS, OpenID et SAML, en soulignant leurs concepts, différences et cas d'utilisation. Il aborde également les modèles de contrôle d'accès, la fédération d'identités et les mécanismes de validation des tickets. Enfin, il inclut des explications techniques et des exemples de flux d'authentification pour chaque protocole.

1. CAS, OpenID, SAML : concepts, différences et exemples Clément Oudot LDAP / IAM expert LINAGORA

2. Présentation personnelle Ingénieur LDAP, IAM et fédération des identités à LINAGORA depuis 2003

3. Leader des projets communautaires : LemonLDAP::NG ( http://lemonldap-ng.org )

4. LDAP Tool Box ( http://ltb-project.org ) 27.10.2011 Application Security Forum - Western Switzerland - 2011

5. Agenda WebSSO, contrôle d'accès et fédération d'identité

6. Les protocoles CAS

7. OpenID

8. SAML Que choisir ? 27.10.2011 Application Security Forum - Western Switzerland - 2011

9. WebSSO, contrôle d'accès et fédération d'identité

10. WebSSO SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique » Le WebSSO se consacre à l'authentification unique pour les applications Web, c'est-à-dire des applications client-serveur dont le client est un navigateur Web (IE, Firefox, etc.) Le principe de base est d'intercepter les requêtes entre le client et le serveur, et indiquer au serveur que le client est bien authentifié

11. Intérêt du WebSSO : éviter la multiplication des identités

12. Utilisateur Application Web Portail WebSSO Cinématique simple 1 2 3

13. Contrôle d'accès Une fois l'utilisateur authentifié, il faut récupérer ses habilitations : Des rôles

14. Des groupes

15. Des attributs divers (âge, nationalité, etc.) Les habilitations donnent accès à des ressources ou des fonctions

16. Plusieurs modèles existent, le principal étant RBAC (Role Based Access Control)

17. Le protocole XACML permet de déléguer les demandes d'habilitations à des points de décision (PDP)

18. Fédération d'identités Notions de cercle de confiance, fournisseur d'identités (IDP) et fournisseur de service (SP)

19. L'utilisateur qui possède plusieurs identités numériques peut les fédérer au sein d'un cercle de confiance

20. Le résultat visible est l'accès transparent aux fournisseurs de service, mais d'autres avantages existent, comme la déconnexion unique (SLO)

21. Cercle de confiance Fournisseur de service Fournisseur d'identité Fournisseur de service Fournisseur d'attribut

22. Protocoles

23. CAS Central Authentication Service

24. Documentation du protocole pour 1.0 et 2.0

25. Utilisation de tickets de service dans l'URL, avec validation par un lien dorsal

26. Possibilité de tickets proxy

27. Pas de partage d'attributs

28. Cinématique CAS 1. Premier accès à l'application Serveur CAS Application « CASsifiée » 2. Authentification sur CAS et récupération d'un ticket 3. Transmission du ticket 4. Validation du ticket et récupération de l'identifiant

29. CAS Requête ticket de service CAS : https://auth.example.com/cas/login?service=http://auth.example.com/cas.pl Réponse ticket de service CAS : http://auth.example.com/cas.pl?ticket=ST-6096f5d3ddb33df6fd79529e2d626a6d