Support de la présentation sur l'utilisation du protocole OpenID Connect, basé sur OAuth2, sur le projet FranceConnect.
Présenation donnée par François Petitit lors de la soirée HumanTalks Paris le 7 juillet 2015
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
France Connect est un nouvel outil mis en œuvre par la DISIC et visant à améliorer l'accès aux administrations françaises en facilitant l'authentification et l'identification des usagers ainsi que l'échange de données. Pour cela, nous avons utilisé le protocole OpenID Connect.
Ce protocole ouvert basé sur OAuth2, successeur de OpenID, et soutenu par des grands acteurs, permet à une application cliente d'utiliser n'importe quel fournisseur d'identité pourvu qu'il implémente aussi ce standard.
contact : fpetitit@octo.com, @francoispetitit
Nous verrons dans cette présentation quels sont les cas d'usages de ce protocole (authentification sur le web, sur des applications mobiles…), quels sont ses avantages et inconvénients, et comment le mettre en oeuvre.
Présentation de LemonLDAP::NG aux Journées Perl 2016Clément OUDOT
LemonLDAP::NG supporte de nombreux protocoles comme CAS, OpenID Connect et SAML. Au travers de cette présentation nous verrons les principes de fonctionnement du logiciel ainsi que les technologies Perl utilisées (Mouse, PSGI, Net::LDAP, Apache::Session, Cache::Cache, etc.)
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGClément OUDOT
LemonLDAP::NG est un logiciel libre de WebSSO et contrôle d'accès implémentant les principaux standards du marché comme CAS, SAML et OpenIDConnect. Intégré nativement aux distributions GNU/Linux, c'est une alternative très prisée de logiciels comme CA SiteMinder, Active Directory Federation Services, JASIG CAS, Shibboleth ou encore ForgeRock OpenAM. Il est très utilisé en France en particulier dans les Ministères (Finances, Culture, Justice, Gendarmerie Nationale, Agriculture, Intérieur) et les collectivités territoriales (Métropole de Montpellier, Ville de Villeurbanne, Métropole de Nantes).
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
France Connect est un nouvel outil mis en œuvre par la DISIC et visant à améliorer l'accès aux administrations françaises en facilitant l'authentification et l'identification des usagers ainsi que l'échange de données. Pour cela, nous avons utilisé le protocole OpenID Connect.
Ce protocole ouvert basé sur OAuth2, successeur de OpenID, et soutenu par des grands acteurs, permet à une application cliente d'utiliser n'importe quel fournisseur d'identité pourvu qu'il implémente aussi ce standard.
contact : fpetitit@octo.com, @francoispetitit
Nous verrons dans cette présentation quels sont les cas d'usages de ce protocole (authentification sur le web, sur des applications mobiles…), quels sont ses avantages et inconvénients, et comment le mettre en oeuvre.
Présentation de LemonLDAP::NG aux Journées Perl 2016Clément OUDOT
LemonLDAP::NG supporte de nombreux protocoles comme CAS, OpenID Connect et SAML. Au travers de cette présentation nous verrons les principes de fonctionnement du logiciel ainsi que les technologies Perl utilisées (Mouse, PSGI, Net::LDAP, Apache::Session, Cache::Cache, etc.)
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGClément OUDOT
LemonLDAP::NG est un logiciel libre de WebSSO et contrôle d'accès implémentant les principaux standards du marché comme CAS, SAML et OpenIDConnect. Intégré nativement aux distributions GNU/Linux, c'est une alternative très prisée de logiciels comme CA SiteMinder, Active Directory Federation Services, JASIG CAS, Shibboleth ou encore ForgeRock OpenAM. Il est très utilisé en France en particulier dans les Ministères (Finances, Culture, Justice, Gendarmerie Nationale, Agriculture, Intérieur) et les collectivités territoriales (Métropole de Montpellier, Ville de Villeurbanne, Métropole de Nantes).
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML.
Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Clément Oudot
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesClément OUDOT
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML. Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGClément OUDOT
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
at Solutions Linux / Open Source
LemonLDAP::NG est un logiciel libre de WebSSO et de contrôle d'accès aux applications Web. C'est également un fournisseur d'identités SAML, CAS et OpenID.
Vous découvrirez lors de cette conférence comment il est possible de s'affranchir de la gestion du mot de passe de ses utilisateurs, en déléguant l'authentification et les contrôle d'accès à une application à un produit de WebSSO.
Cela permet d'intégrer l'application sans effort dans des systèmes d'informations hétérogènes, en reposant sur des méthodes aussi diverses que les annuaires LDAP, les bases de données, les certificats SSL, Kerberos, etc.
La fonctionnalité de fournisseur d'identité permet également d'établir un cercle de confiance, pour par exemple propager l'authentification des utilisateurs aux applications “cloud”, comme Google Apps ou SalesForce.
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Damien Boissin
Présentation d'oauth 2 et d'openid connect au Jug Montpellier.
Elle traite la question de l'utilisation d'une api par une application tierce et d'authentifier les utilisateurs de cette application.
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
De plus en plus d’organisations mettent en place un point d’accès unique pour l’accès à leurs portails web et à leurs applications internes. Un seul point d’accès est plus simple à gérer et sécuriser. Autre avantage pour la convivialité et la sécurité, les utilisateurs n’ont plus besoin de recourir aux post-its (habilement cachés sous leur clavier) pour se souvenir de leur (trop) nombreux mots de passe. Toutefois, avec l’essor des services dans le “cloud”, on voit de plus en plus d’applications être hébergées sur des serveurs distants, souvent pour ses propres applications, quelque fois par des partenaires ou simplement sur des plateformes de service type SalesForce. Et donc, retour à la case départ. Les développeurs doivent créer et maintenir du code SSO custom pour chaque application; les utilisateurs doivent réinvestir dans les postits (sauf si, consciencieux de réutiliser le même mot de passe partout, il préfère les exposer sur des plateformes non maitrisées); les help desks doivent intervenir sur de multiples systèmes avec des outils plus ou moins adaptés.
Pour unifier tous ces nouveaux fournisseurs d’identité et services, et permettre le SSO sur des plateformes de tiers, il faut relever de nouveaux défis et résoudre de nouveaux problèmes. Ainsi, si une entreprise veut implémenter le SSO dans un tel contexte, il est peu probable de trouver une solution du marché capable de couvrir tous les besoins. Très vite, on se heurte à la multiplicité et l’hétérogénéité des protocoles d’authentification et au manque de souplesse des solutions qui ciblent très souvent des cas d’utilisation trop particuliers. Il faut alors avoir recours à un panachage de solution. Mais pas n’importe comment! Non seulement, il faut que le panachage couvre l’ensemble des besoins mais aussi il faut que les fonctionnalités retenues puissent cohabiter, l’une avec l’autre, avec les applications et services à intégrer, et enfin, avec l’infrastructure et l’organisation de l’entreprise.
PKI Android : Installer, gérer, sécuriser et utiliser un secretOCTO Technology
Comment installer, gérer, sécuriser et utiliser une clef privée ? Comment partager une clef privée entres applications? Comment résister au vol du téléphone? Via des API cachées, des scénarios originaux et autres subtilités.
Open source tools for e signature - yajug - v3David Naramski
Après un lent démarrage après la Directive de 1999, la signature électronique décolle enfin en Europe. A l’intersection des aspects légaux, techniques et institutionnels, ce domaine présente de nombreux challenges qui ont dû être surmontés pour que les acteurs européens puissent bénéficier de ses avantages. La présentation va se focaliser sur le framework SD-DSS et le logiciel compagnon NexU, deux outils open-source qui facilitent l’adoption de ces technologies en prenant en charge les aspects techniques complexes de la signature avancée, de la confiance et de l’accès aux smartcards.
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Worteks
LemonLDAP::NG est une solution de WebSSO, contrôle d'accès et fédération d'identités déployée largement en France, dans des ministères, des collectivités territoriales et dans le secteur privé.
Elle permet la mise en place d'un portail d'authentification sécurité (simple ou mutli-facteurs) et l'intégration de nombreuses applications Web se basant sur les protocoles CAS, SAML et OpenID Connect, ou compatibles avec l'authentification par en-têtes HTTP.
La version 2.0 est sortie fin novembre et apporte de nombreuses nouvelles fonctionnalités, comme la gestion native des seconds facteurs TOTP et U2F, des APIs REST, la protection de web services et micro services ou encore le mode de déploiement "SSO as a Service".
https://www.flosscon.org/conferences/FLOSSCon2019/program/proposals/38
Paris Web 2015 - Atelier désendettement Javascript legacyFrançois Petitit
par Michael Akbaraly et François Petitit - OCTO Technology
Vous avez récupéré un projet JavaScript de plusieurs milliers de lignes, on vous demande des évolutions et des corrections de bugs, et rien ne va.
Code illisible, régressions en pagaille, structure des répertoires incompréhensibles : vous ne savez pas par où commencer !
Au long des 90 minutes de cet atelier, nous vous proposons de découvrir les techniques et les outils qui vont vous sauver la vie via des travaux pratiques de code JavaScript côté back-end avec NodeJS, et côté front-end avec AngularJS.
Débutants ou ayant déjà une connaissance de ces technologies sont les bienvenus. Les travaux pratiques seront disponibles si vous souhaitez coder vous-mêmes pendant l'atelier.
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML.
Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Clément Oudot
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesClément OUDOT
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML. Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGClément OUDOT
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
at Solutions Linux / Open Source
LemonLDAP::NG est un logiciel libre de WebSSO et de contrôle d'accès aux applications Web. C'est également un fournisseur d'identités SAML, CAS et OpenID.
Vous découvrirez lors de cette conférence comment il est possible de s'affranchir de la gestion du mot de passe de ses utilisateurs, en déléguant l'authentification et les contrôle d'accès à une application à un produit de WebSSO.
Cela permet d'intégrer l'application sans effort dans des systèmes d'informations hétérogènes, en reposant sur des méthodes aussi diverses que les annuaires LDAP, les bases de données, les certificats SSL, Kerberos, etc.
La fonctionnalité de fournisseur d'identité permet également d'établir un cercle de confiance, pour par exemple propager l'authentification des utilisateurs aux applications “cloud”, comme Google Apps ou SalesForce.
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Damien Boissin
Présentation d'oauth 2 et d'openid connect au Jug Montpellier.
Elle traite la question de l'utilisation d'une api par une application tierce et d'authentifier les utilisateurs de cette application.
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
De plus en plus d’organisations mettent en place un point d’accès unique pour l’accès à leurs portails web et à leurs applications internes. Un seul point d’accès est plus simple à gérer et sécuriser. Autre avantage pour la convivialité et la sécurité, les utilisateurs n’ont plus besoin de recourir aux post-its (habilement cachés sous leur clavier) pour se souvenir de leur (trop) nombreux mots de passe. Toutefois, avec l’essor des services dans le “cloud”, on voit de plus en plus d’applications être hébergées sur des serveurs distants, souvent pour ses propres applications, quelque fois par des partenaires ou simplement sur des plateformes de service type SalesForce. Et donc, retour à la case départ. Les développeurs doivent créer et maintenir du code SSO custom pour chaque application; les utilisateurs doivent réinvestir dans les postits (sauf si, consciencieux de réutiliser le même mot de passe partout, il préfère les exposer sur des plateformes non maitrisées); les help desks doivent intervenir sur de multiples systèmes avec des outils plus ou moins adaptés.
Pour unifier tous ces nouveaux fournisseurs d’identité et services, et permettre le SSO sur des plateformes de tiers, il faut relever de nouveaux défis et résoudre de nouveaux problèmes. Ainsi, si une entreprise veut implémenter le SSO dans un tel contexte, il est peu probable de trouver une solution du marché capable de couvrir tous les besoins. Très vite, on se heurte à la multiplicité et l’hétérogénéité des protocoles d’authentification et au manque de souplesse des solutions qui ciblent très souvent des cas d’utilisation trop particuliers. Il faut alors avoir recours à un panachage de solution. Mais pas n’importe comment! Non seulement, il faut que le panachage couvre l’ensemble des besoins mais aussi il faut que les fonctionnalités retenues puissent cohabiter, l’une avec l’autre, avec les applications et services à intégrer, et enfin, avec l’infrastructure et l’organisation de l’entreprise.
PKI Android : Installer, gérer, sécuriser et utiliser un secretOCTO Technology
Comment installer, gérer, sécuriser et utiliser une clef privée ? Comment partager une clef privée entres applications? Comment résister au vol du téléphone? Via des API cachées, des scénarios originaux et autres subtilités.
Open source tools for e signature - yajug - v3David Naramski
Après un lent démarrage après la Directive de 1999, la signature électronique décolle enfin en Europe. A l’intersection des aspects légaux, techniques et institutionnels, ce domaine présente de nombreux challenges qui ont dû être surmontés pour que les acteurs européens puissent bénéficier de ses avantages. La présentation va se focaliser sur le framework SD-DSS et le logiciel compagnon NexU, deux outils open-source qui facilitent l’adoption de ces technologies en prenant en charge les aspects techniques complexes de la signature avancée, de la confiance et de l’accès aux smartcards.
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Worteks
LemonLDAP::NG est une solution de WebSSO, contrôle d'accès et fédération d'identités déployée largement en France, dans des ministères, des collectivités territoriales et dans le secteur privé.
Elle permet la mise en place d'un portail d'authentification sécurité (simple ou mutli-facteurs) et l'intégration de nombreuses applications Web se basant sur les protocoles CAS, SAML et OpenID Connect, ou compatibles avec l'authentification par en-têtes HTTP.
La version 2.0 est sortie fin novembre et apporte de nombreuses nouvelles fonctionnalités, comme la gestion native des seconds facteurs TOTP et U2F, des APIs REST, la protection de web services et micro services ou encore le mode de déploiement "SSO as a Service".
https://www.flosscon.org/conferences/FLOSSCon2019/program/proposals/38
Paris Web 2015 - Atelier désendettement Javascript legacyFrançois Petitit
par Michael Akbaraly et François Petitit - OCTO Technology
Vous avez récupéré un projet JavaScript de plusieurs milliers de lignes, on vous demande des évolutions et des corrections de bugs, et rien ne va.
Code illisible, régressions en pagaille, structure des répertoires incompréhensibles : vous ne savez pas par où commencer !
Au long des 90 minutes de cet atelier, nous vous proposons de découvrir les techniques et les outils qui vont vous sauver la vie via des travaux pratiques de code JavaScript côté back-end avec NodeJS, et côté front-end avec AngularJS.
Débutants ou ayant déjà une connaissance de ces technologies sont les bienvenus. Les travaux pratiques seront disponibles si vous souhaitez coder vous-mêmes pendant l'atelier.
En cette ère digitale, les usages changent : les IHM sont multiples, accessibles n'importe où et n'importe quand, mais surtout de plus en plus éphémères. Nos systèmes d'informations doivent évoluer afin de gérer cette accélération.
Si la volonté de rendre le SI modulaire n'est pas nouvelle (architectures orientées services, technologies associées, etc.), de nouvelles cultures et pratiques nous sont insufflées par les Géants du Web pour y parvenir (API First, OpenAPI, etc.).
La démarche de rationalisation d'hier se transforme en levier de création de valeur.
Cette session reviendra sur les enjeux business et techniques de la culture API.
Nous adresserons ensuite les points clés d’une stratégie API, de la conception au management d’API.
Architecture of the Hyperledger Blockchain Fabric - Christian Cachin - IBM Re...Romeo Kienzler
This document summarizes the architecture of the Hyperledger blockchain fabric framework. It describes how Hyperledger fabric implements a permissioned blockchain using Byzantine Fault Tolerant (BFT) consensus. Key aspects covered include the use of smart contracts, separation of transaction endorsement from ordering, and how privacy and confidentiality are achieved through techniques like pseudonymous transactions and encrypted state. The document also discusses ongoing work to further improve scalability and flexibility of the Hyperledger fabric design.
Petit-déjeuner OCTO du 06/03/14 - Dessine-moi une API, et dis-moi comment la ...OCTO Technology
Les démarches de conception de type “API First” consistent à mettre les interfaces applicatives au coeur de la stratégie IT en découplant les adhérences client-serveur.
C’est un exercice relativement inédit au sein des DSI, en ce sens que les architectures – même celles qui sont distribuées – ont toujours été conçues en connaissant le fonctionnement des deux machines qui vont dialoguer entre elles via une API.
Avec les démarches API First, et surtout avec les API web publiques, il faut à présent concevoir des APIs sans connaître à l’avance les usages qui en seront faits : cela a des impacts importants tant sur la conception des APIs que sur les modèles d’affaire qu’elles vont porter mais aussi sur la manière dont vous allez les manager : comment et avec quelles solutions ?
Présentations données lors du séminaire de LINAGORA intitulé : "Solutions d'identité et de sécurité Open Source LinID et LinPKI".
Intervenants :
- David Carella et Esteban Pereira, experts sécurité et identité, LINAGORA
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
Lors de cette session nous vous présenterons, la simplicité d’usage du module OneLogin Desktop ainsi que les différentes fonctionnalités telles que le Multi-Factor Authentication lors de l’ouverture de session, la synchronisation du mot de passe de session avec votre portail OneLogin afin de faciliter au maximum la vie de vos employés tout en augmentant le niveau de sécurité à leurs postes professionnels.
Nous profiterons aussi de cette occasion pour mettre en avant certains retours d’expériences de nos clients sur la suppression de leur Active Directory.
L’Open Data est aujourd’hui - en termes de potentiel, d’opportunités et d’enjeu - au cœur du développement de multiples innovations sociales et économiques grâce à leur mise en ligne par les Administrations, les collectivités territoriales et les entreprises. La mise en place d’un projet Open Data représente un nouveau moyen pour l’Etat et les collectivités territoriales de répondre aux attentes des administrés et aux besoins de développement des acteurs économiques locaux. Il constitue dans le même temps un vecteur de modernisation pour l’organisation porteuse de cette démarche d’ouverture, avec à la clé une contribution active aux décloisonnements des services, à la production de données enrichies en temps réel et multicanales, le développement de « tableau de bord » pour optimiser la prise de décision, etc. Venez découvrir dans cette session comment Microsoft met aujourd’hui à votre disposition une solution complète en marque blanche sous licence libre, prête à l’usage, interopérable, ouverte, évolutive et mise en ligne l’espace de la session dans Windows Azure pour bénéficier pleinement des apports du Cloud (puissance et élasticité, modèle économique), avec pas ou peu d’investissement initial et un « Time-to-Market ». En « 1 heure chrono », vous bénéficiez d’une plateforme Open Data interopérable, performante, opérationnelle avec des coûts optimisés et prête à accompagner un développement rapide d’un écosystème applicatif riche Web, mobile, BI, etc. Prenez une vraie « longueur d’avance » sur votre projet Open Data ou celui de votre client. Vous avez désormais toute latitude pour vous concentrer sur les données à libérer !
Webinaire Isogeo - l'API v1 en lecture est sortie !Isogeo
Développeur ? Géomaticien ? Client ? Curieux ? Venez découvrir les possibilités offertes par l’API Isogeo : principes, architecture technique, cas d’usage et retours d’expérience. La société PixUp présente notamment son utilisation de l’API pour le développement de portails Open Data
Mise à jour d'un support de formation à un atelier Canopé sur le thème de la publication et l’édition d’informations sur le portail documentaire E-sidoc à destination des professeurs documentalistes.
Mise à jour d'un support de formation à un atelier Canopé sur le thème de la publication et l’édition d’informations sur le portail documentaire E-sidoc à destination des professeurs documentalistes.
Digitalisation du secteur de l’eau - 1 décembre 2022Cluster H2O
Organisé en collaboration par l’Infopole Cluster TIC et le Cluster H2O, l'évènement a réuni les acteurs du numérique et de l’eau sur le thème de l’acquisition intelligente des données.
Authentification moderne sur le Desktop, comment utiliser un annuaire cloud d...Identity Days
Lors de cette session nous vous présenterons, la simplicité d’usage du module OneLogin Desktop ainsi que les différentes fonctionnalités telles que le Multi-Factor Authentication lors de l’ouverture de session, la synchronisation du mot de passe de session avec votre portail OneLogin afin de faciliter au maximum la vie de vos employés tout en augmentant le niveau de sécurité à leurs postes professionnels.
Nous profiterons aussi de cette occasion pour mettre en avant certains retours d’expériences de nos clients sur la suppression de leur Active Directory.
Similaire à Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 juillet 2015 (20)
2. François Petitit
• Consultant chez OCTO
Technology depuis 2008
• Technical leader du projet
FranceConnect depuis
septembre 2014
• @francoispetitit
• francois.petitit@gmail.com
3. • Authentifier et identifier un usager
• Informer l’usager sur les échanges de
données
13. • La norme OpenIDConnect
– V1.0 finalisée fin 2014
– déjà en production
• Google depuis mai 2015
• Chantiers en cours
– OpenIDConnect pour les apps natives
– Choix du compte courant
– Gestion de session multi-sites
– …
OpenIDConnect
15. • Les tops
– Eco-système de qualité : nombreuses librairies,
supporté par de + en + d’acteurs majeurs…
– Vraiment simple pour les partenaires : 3j pour
identifier une personne sur un site existant !
• Les pièges à connaître
– Parfois pas assez normatif
• Certains paramètres de sécurité sont optionnels
Mon retour
16. Merci
Pour aller plus loin :
• http://openid.net
• http://dev-franceconnect.fr