Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
France Connect est un nouvel outil mis en œuvre par la DISIC et visant à améliorer l'accès aux administrations françaises en facilitant l'authentification et l'identification des usagers ainsi que l'échange de données. Pour cela, nous avons utilisé le protocole OpenID Connect.
Ce protocole ouvert basé sur OAuth2, successeur de OpenID, et soutenu par des grands acteurs, permet à une application cliente d'utiliser n'importe quel fournisseur d'identité pourvu qu'il implémente aussi ce standard.
contact : fpetitit@octo.com, @francoispetitit
Nous verrons dans cette présentation quels sont les cas d'usages de ce protocole (authentification sur le web, sur des applications mobiles…), quels sont ses avantages et inconvénients, et comment le mettre en oeuvre.
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Damien Boissin
Présentation d'oauth 2 et d'openid connect au Jug Montpellier.
Elle traite la question de l'utilisation d'une api par une application tierce et d'authentifier les utilisateurs de cette application.
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML.
Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Clément Oudot
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesClément OUDOT
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML. Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
France Connect est un nouvel outil mis en œuvre par la DISIC et visant à améliorer l'accès aux administrations françaises en facilitant l'authentification et l'identification des usagers ainsi que l'échange de données. Pour cela, nous avons utilisé le protocole OpenID Connect.
Ce protocole ouvert basé sur OAuth2, successeur de OpenID, et soutenu par des grands acteurs, permet à une application cliente d'utiliser n'importe quel fournisseur d'identité pourvu qu'il implémente aussi ce standard.
contact : fpetitit@octo.com, @francoispetitit
Nous verrons dans cette présentation quels sont les cas d'usages de ce protocole (authentification sur le web, sur des applications mobiles…), quels sont ses avantages et inconvénients, et comment le mettre en oeuvre.
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Damien Boissin
Présentation d'oauth 2 et d'openid connect au Jug Montpellier.
Elle traite la question de l'utilisation d'une api par une application tierce et d'authentifier les utilisateurs de cette application.
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML.
Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Clément Oudot
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesClément OUDOT
Avec la multiplication des applications Web, la question de l’authentification à ces applications est devenue primordiale. Pour simplifier la vie de l’utilisateur, le concept de SSO (Single Sign On) a été inventé. Dans ce domaine, plusieurs protocoles et standards existent, comme CAS, OpenID, Liberty Alliance, Shibboleth ou SAML. Quelles sont les différences ? Comment utiliser ces protocoles dans les applications ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGClément OUDOT
LemonLDAP::NG est un logiciel libre de WebSSO et contrôle d'accès implémentant les principaux standards du marché comme CAS, SAML et OpenIDConnect. Intégré nativement aux distributions GNU/Linux, c'est une alternative très prisée de logiciels comme CA SiteMinder, Active Directory Federation Services, JASIG CAS, Shibboleth ou encore ForgeRock OpenAM. Il est très utilisé en France en particulier dans les Ministères (Finances, Culture, Justice, Gendarmerie Nationale, Agriculture, Intérieur) et les collectivités territoriales (Métropole de Montpellier, Ville de Villeurbanne, Métropole de Nantes).
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...François Petitit
Support de la présentation sur l'utilisation du protocole OpenID Connect, basé sur OAuth2, sur le projet FranceConnect.
Présenation donnée par François Petitit lors de la soirée HumanTalks Paris le 7 juillet 2015
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...Cyber Security Alliance
“Sign-in using your facebook, google, linked-in or twitter account…”
Porté notamment par les grands acteurs des réseaux sociaux, Oauth est devenu un standard difficilement contournable dans le paysage de la fédération d’identité.
Authentifier c’est s’assurer qu’une entité est bien celle qu’elle prétend être. Oauth, quant à lui, se définit comme un “framework” d’autorisation permettant à des applications d’accéder aux données d’un utilisateur en lui demandant sa permission.
Pourtant un usage important (Sign-in) semble être l’authentification…
Simple question de sémantique ? Ou réelle subtilité, qui mal comprise, pourrait nous conduire à de mauvaises implémentations ?
En ayant a cœur de répondre à cette question, cette présentation propose de regarder “sous le capot” de ce protocole. De Oauth 1.0 a Oauth 2.0 comment est-ce que cela fonctionne ? est-ce vrai qu’un token d’accès Oauth peut être réutilisé pour “usurper une identité” ? Et par rapport à SAML & OpenId : est-ce différent ou complémentaire ?
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGClément OUDOT
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
at Solutions Linux / Open Source
LemonLDAP::NG est un logiciel libre de WebSSO et de contrôle d'accès aux applications Web. C'est également un fournisseur d'identités SAML, CAS et OpenID.
Vous découvrirez lors de cette conférence comment il est possible de s'affranchir de la gestion du mot de passe de ses utilisateurs, en déléguant l'authentification et les contrôle d'accès à une application à un produit de WebSSO.
Cela permet d'intégrer l'application sans effort dans des systèmes d'informations hétérogènes, en reposant sur des méthodes aussi diverses que les annuaires LDAP, les bases de données, les certificats SSL, Kerberos, etc.
La fonctionnalité de fournisseur d'identité permet également d'établir un cercle de confiance, pour par exemple propager l'authentification des utilisateurs aux applications “cloud”, comme Google Apps ou SalesForce.
Présentation de LemonLDAP::NG aux Journées Perl 2016Clément OUDOT
LemonLDAP::NG supporte de nombreux protocoles comme CAS, OpenID Connect et SAML. Au travers de cette présentation nous verrons les principes de fonctionnement du logiciel ainsi que les technologies Perl utilisées (Mouse, PSGI, Net::LDAP, Apache::Session, Cache::Cache, etc.)
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
De plus en plus d’organisations mettent en place un point d’accès unique pour l’accès à leurs portails web et à leurs applications internes. Un seul point d’accès est plus simple à gérer et sécuriser. Autre avantage pour la convivialité et la sécurité, les utilisateurs n’ont plus besoin de recourir aux post-its (habilement cachés sous leur clavier) pour se souvenir de leur (trop) nombreux mots de passe. Toutefois, avec l’essor des services dans le “cloud”, on voit de plus en plus d’applications être hébergées sur des serveurs distants, souvent pour ses propres applications, quelque fois par des partenaires ou simplement sur des plateformes de service type SalesForce. Et donc, retour à la case départ. Les développeurs doivent créer et maintenir du code SSO custom pour chaque application; les utilisateurs doivent réinvestir dans les postits (sauf si, consciencieux de réutiliser le même mot de passe partout, il préfère les exposer sur des plateformes non maitrisées); les help desks doivent intervenir sur de multiples systèmes avec des outils plus ou moins adaptés.
Pour unifier tous ces nouveaux fournisseurs d’identité et services, et permettre le SSO sur des plateformes de tiers, il faut relever de nouveaux défis et résoudre de nouveaux problèmes. Ainsi, si une entreprise veut implémenter le SSO dans un tel contexte, il est peu probable de trouver une solution du marché capable de couvrir tous les besoins. Très vite, on se heurte à la multiplicité et l’hétérogénéité des protocoles d’authentification et au manque de souplesse des solutions qui ciblent très souvent des cas d’utilisation trop particuliers. Il faut alors avoir recours à un panachage de solution. Mais pas n’importe comment! Non seulement, il faut que le panachage couvre l’ensemble des besoins mais aussi il faut que les fonctionnalités retenues puissent cohabiter, l’une avec l’autre, avec les applications et services à intégrer, et enfin, avec l’infrastructure et l’organisation de l’entreprise.
OAuth 2.0 est un standard d'autorisation moderne (comprendre avec du JSON partout) qui permet de controller l'accès aux resources web. Cette présentation vous apprendra les pas de danse OAuth 2.0, et vous initiera à la chorégraphie OpenId Connect. On parlera aussi des nouveautés: UMA, PoP, Privacy, Consent et autres acronymes barbares.
An IAM for Beginner's session presented by Dr. Matthias Tristl, ForgeRock Senior Instructor
Learn more about ForgeRock Access Management:
https://www.forgerock.com/platform/access-management/
Learn more about ForgeRock Identity Management:
https://www.forgerock.com/platform/identity-management/
- SAML V2 is an XML-based protocol that enables secure authentication and authorization between identity providers and service providers through the exchange of authentication and authorization data represented as assertions.
- OpenAM can be configured as an identity provider or service provider to participate in SAML V2 flows, allowing single sign-on between OpenAM and other SAML-compliant systems. Key SAML elements like requests, assertions, and metadata are exchanged to initiate SSO and share user attributes.
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGClément OUDOT
LemonLDAP::NG est un logiciel libre de WebSSO et contrôle d'accès implémentant les principaux standards du marché comme CAS, SAML et OpenIDConnect. Intégré nativement aux distributions GNU/Linux, c'est une alternative très prisée de logiciels comme CA SiteMinder, Active Directory Federation Services, JASIG CAS, Shibboleth ou encore ForgeRock OpenAM. Il est très utilisé en France en particulier dans les Ministères (Finances, Culture, Justice, Gendarmerie Nationale, Agriculture, Intérieur) et les collectivités territoriales (Métropole de Montpellier, Ville de Villeurbanne, Métropole de Nantes).
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...François Petitit
Support de la présentation sur l'utilisation du protocole OpenID Connect, basé sur OAuth2, sur le projet FranceConnect.
Présenation donnée par François Petitit lors de la soirée HumanTalks Paris le 7 juillet 2015
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...Cyber Security Alliance
“Sign-in using your facebook, google, linked-in or twitter account…”
Porté notamment par les grands acteurs des réseaux sociaux, Oauth est devenu un standard difficilement contournable dans le paysage de la fédération d’identité.
Authentifier c’est s’assurer qu’une entité est bien celle qu’elle prétend être. Oauth, quant à lui, se définit comme un “framework” d’autorisation permettant à des applications d’accéder aux données d’un utilisateur en lui demandant sa permission.
Pourtant un usage important (Sign-in) semble être l’authentification…
Simple question de sémantique ? Ou réelle subtilité, qui mal comprise, pourrait nous conduire à de mauvaises implémentations ?
En ayant a cœur de répondre à cette question, cette présentation propose de regarder “sous le capot” de ce protocole. De Oauth 1.0 a Oauth 2.0 comment est-ce que cela fonctionne ? est-ce vrai qu’un token d’accès Oauth peut être réutilisé pour “usurper une identité” ? Et par rapport à SAML & OpenId : est-ce différent ou complémentaire ?
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGClément OUDOT
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
at Solutions Linux / Open Source
LemonLDAP::NG est un logiciel libre de WebSSO et de contrôle d'accès aux applications Web. C'est également un fournisseur d'identités SAML, CAS et OpenID.
Vous découvrirez lors de cette conférence comment il est possible de s'affranchir de la gestion du mot de passe de ses utilisateurs, en déléguant l'authentification et les contrôle d'accès à une application à un produit de WebSSO.
Cela permet d'intégrer l'application sans effort dans des systèmes d'informations hétérogènes, en reposant sur des méthodes aussi diverses que les annuaires LDAP, les bases de données, les certificats SSL, Kerberos, etc.
La fonctionnalité de fournisseur d'identité permet également d'établir un cercle de confiance, pour par exemple propager l'authentification des utilisateurs aux applications “cloud”, comme Google Apps ou SalesForce.
Présentation de LemonLDAP::NG aux Journées Perl 2016Clément OUDOT
LemonLDAP::NG supporte de nombreux protocoles comme CAS, OpenID Connect et SAML. Au travers de cette présentation nous verrons les principes de fonctionnement du logiciel ainsi que les technologies Perl utilisées (Mouse, PSGI, Net::LDAP, Apache::Session, Cache::Cache, etc.)
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
De plus en plus d’organisations mettent en place un point d’accès unique pour l’accès à leurs portails web et à leurs applications internes. Un seul point d’accès est plus simple à gérer et sécuriser. Autre avantage pour la convivialité et la sécurité, les utilisateurs n’ont plus besoin de recourir aux post-its (habilement cachés sous leur clavier) pour se souvenir de leur (trop) nombreux mots de passe. Toutefois, avec l’essor des services dans le “cloud”, on voit de plus en plus d’applications être hébergées sur des serveurs distants, souvent pour ses propres applications, quelque fois par des partenaires ou simplement sur des plateformes de service type SalesForce. Et donc, retour à la case départ. Les développeurs doivent créer et maintenir du code SSO custom pour chaque application; les utilisateurs doivent réinvestir dans les postits (sauf si, consciencieux de réutiliser le même mot de passe partout, il préfère les exposer sur des plateformes non maitrisées); les help desks doivent intervenir sur de multiples systèmes avec des outils plus ou moins adaptés.
Pour unifier tous ces nouveaux fournisseurs d’identité et services, et permettre le SSO sur des plateformes de tiers, il faut relever de nouveaux défis et résoudre de nouveaux problèmes. Ainsi, si une entreprise veut implémenter le SSO dans un tel contexte, il est peu probable de trouver une solution du marché capable de couvrir tous les besoins. Très vite, on se heurte à la multiplicité et l’hétérogénéité des protocoles d’authentification et au manque de souplesse des solutions qui ciblent très souvent des cas d’utilisation trop particuliers. Il faut alors avoir recours à un panachage de solution. Mais pas n’importe comment! Non seulement, il faut que le panachage couvre l’ensemble des besoins mais aussi il faut que les fonctionnalités retenues puissent cohabiter, l’une avec l’autre, avec les applications et services à intégrer, et enfin, avec l’infrastructure et l’organisation de l’entreprise.
OAuth 2.0 est un standard d'autorisation moderne (comprendre avec du JSON partout) qui permet de controller l'accès aux resources web. Cette présentation vous apprendra les pas de danse OAuth 2.0, et vous initiera à la chorégraphie OpenId Connect. On parlera aussi des nouveautés: UMA, PoP, Privacy, Consent et autres acronymes barbares.
An IAM for Beginner's session presented by Dr. Matthias Tristl, ForgeRock Senior Instructor
Learn more about ForgeRock Access Management:
https://www.forgerock.com/platform/access-management/
Learn more about ForgeRock Identity Management:
https://www.forgerock.com/platform/identity-management/
- SAML V2 is an XML-based protocol that enables secure authentication and authorization between identity providers and service providers through the exchange of authentication and authorization data represented as assertions.
- OpenAM can be configured as an identity provider or service provider to participate in SAML V2 flows, allowing single sign-on between OpenAM and other SAML-compliant systems. Key SAML elements like requests, assertions, and metadata are exchanged to initiate SSO and share user attributes.
This document provides an overview of OpenDJ for beginners. It discusses what an LDAP directory is and when it should be used. The key features of OpenDJ are listed, including its scalability, performance, flexibility, and support for LDAP, SPML and SCIM standards. Components of OpenDJ like replication and interfaces for LDAP, DSML and REST are described. The differences between a directory and relational database are outlined. Typical use cases for authentication are discussed. Finally, features of OpenDJ like its administration GUI, command line, SDK, access control, and group/role support are highlighted.
This document summarizes OpenDJ, an open source LDAP server. It describes what OpenDJ is, its features like easy installation and administration through CLI and GUI interfaces. It also covers how to install OpenDJ, use the CLI and control panel, set up replication between servers, perform tuning, and back up the LDAP directory. An example deployment at Locaweb running 4 OpenDJ servers behind F5 load balancers serving over 60k concurrent connections is also discussed.
A Development session led by Technical Enablement Lead Bert Van Beeck
Learn more about ForgeRock Access Management:
https://www.forgerock.com/platform/access-management/
Learn more about ForgeRock Identity Management:
https://www.forgerock.com/platform/identity-management/
This document provides an overview of OpenIDM for beginners. It describes where OpenIDM fits within identity and access management. OpenIDM addresses common identity management use cases like provisioning, deprovisioning, compliance and auditing, and password management. It utilizes connectors to interface with external systems and repositories. Workflow engines like Activiti can be integrated to automate approval processes. The document demonstrates OpenIDM configuration and provides an example of implementing a user provisioning workflow.
This document summarizes a presentation about OpenIDM. It describes where OpenIDM fits into Open Identity Stack (OIS), common identity management use cases like provisioning and password management that OpenIDM addresses, and OpenIDM features like its REST interface, connectors to external systems, and use of workflows. The architecture of OpenIDM is also summarized, including its components like OSGi, persistence layer, and connectors. Configuration of connectors and potential role management challenges are also briefly outlined.
The document is a transcript of a 45-minute talk given by Chris Messina on May 15, 2009 in Leuven, Belgium. In the talk, Messina discusses several topics related to the open web including Web 2.0, open source software, social networks, cloud computing, identity, and real identity on the internet. He argues that openness requires competition, freedom of choice, and interoperability between systems. Messina also proposes standards for building social applications called Diso to facilitate this vision of an open social web.
OpenIG Webinar: Your Swiss Army Knife for Protecting and Securing Web Apps, A...ForgeRock
The document discusses OpenIG, an identity gateway product from ForgeRock. OpenIG allows legacy applications and APIs to be integrated with identity and access management solutions without modifying the applications. It provides single sign-on, password capture and replay, OAuth 2.0 protection for APIs, and federation capabilities. The latest version of OpenIG includes support for OAuth 2.0, OpenID Connect, scripting with Groovy, SAML federation, and stateless sessions. The document promotes OpenIG as a cost-effective way to extend security and identity features to existing applications.
OpenID Connect is a simple identity layer that allows clients like mobile or web apps to verify user identities based on an authentication performed by an authorization server, as well as obtain basic profile information about users. It is built on OAuth 2.0 and defined by the OpenID Foundation. The specification defines core features as well as optional discovery, dynamic registration, session management, and OAuth 2.0 response types. Major companies like Google, Salesforce, and Microsoft have implemented or are deploying OpenID Connect to provide single sign-on for web and mobile clients.
Alphorm.com Support de la Formation Microsoft Identity Manager (MIM) 2016 Imp...Alphorm
Formation complète ici :
http://www.alphorm.com/tutoriel/formation-en-ligne-microsoft-identity-manager-2016-implementation-et-configuration
Cette formation montre comment déployer une solution MIM. Elle aborde les notions fondamentales liées aux manipulations d’objets au sein d’un annuaire, décrit deux approches de la synchronisation d’identité et consolide les connaissances de bases pour la formation intermédiaire.
Elle s’adresse à un public débutant ayant toutefois des connaissances minimales sur les annuaires Ldap. Cette formation a pour principal objectif de vous apprendre l’ensemble des capacités du produit et les bases minimales à sa mise en œuvre.
IdP, SAML, OAuth are new acronyms for identity in the cloud. SAML is used for federated authentication between an identity provider (IdP) like Active Directory and a service provider (SP) like Office 365. The IdP authenticates the user and sends a SAML token with claims to the SP. OAuth streamlines authentication for mobile by issuing short-lived access tokens instead of passing full credentials or SAML assertions between each service. It allows authorization without passwords and tokens can be revoked, reducing risks of compromised apps. Office 365 uses Azure Active Directory as an IdP with SAML or OAuth to authenticate users from an on-premises Active Directory via federation or synchronization.
Comment ça marche: OpenID Connect fournisseur d’identité universel de Google ...Leonard Moustacchis
OpenID Connect (OIDC) is an authentication standard built on OAuth2 that allows users to log into applications and websites using their existing digital identities. OIDC supports single sign-on using identity providers like Google to authenticate users, who can then access multiple applications without having to log in separately to each one. The document discusses the OIDC authorization code flow, where users are redirected to an identity provider to authenticate, then given an authorization code to access tokens that can be used to retrieve user information and access protected resources. It also describes how FranceConnect uses OIDC and an identity hub to enable single sign-on access to public services using existing identities from identity providers like Google.
SAML, developed by the Security Services
Technical Committee of the Organization for the
Advancement of Structured Information Standards
(OASIS), is an XML-based framework for
communicating user authentication, entitlement,
and attribute information. As its name suggests,
SAML allows business entities to make assertions
regarding the identity, attributes, and entitlements of
a subject (an entity that is often a human user) to
other entities, such as a partner company or
another enterprise application.
LDAP: What Is It, Do I Want it, and How Do I Make It Work for Me?Rebecca Hyams
Do your patrons complain that they've forgotten their username or password for ILLiad (or that they have to remember yet another one)? Have some of them created more than one account because they forgot they had one already? Are you spending time clearing new users that you could spend instead on other work? Then perhaps switching to LDAP sign in for your ILLiad web interface is right for you. This presentation will look at what LDAP is, the pros and cons of using it with ILLiad, and how to talk to your local friendly IT/Systems people and other library staff to get things running smoothly.
OpenAM can be valid alternative in an Oracle stack. It can tie together Oracle 9i/10g OSSO based midtiers with newer 11g WLS fusion application tiers and even SAML based authentication.
Picking the right Single Sign On Tool to protect your networkDavid Strom
The document summarizes new developments in single sign-on (SSO) tools, including acquisitions and product launches. It reviews several SSO products and notes other vendors who declined participation. Five trends are highlighted: 1) growing use of multi-factor authentication, 2) increased integration with mobile device management, 3) cloud services dominance, 4) identity providers, and 5) proliferation of applications. The author provides contact information and links for additional information.
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
Aujourd'hui, tout un chacun souhaite aspire à travailler de n'importe où, sur n'importe quel appareil, etc. Comment permettre une telle expérience avec les ressources internes et dans le cloud (hybride) de l’entreprise, tout en conservant le contrôle dans le contexte du BYOD (Amenez votre propre appareil). Sur la base de l’enregistrement d’appareils abordé dans la première partie (session SEC306), cette session illustrera comment configurer les stratégies d’accès conditionnel qui s'appuient d'une manière souple et intuitive sur les nouvelles capacités d’AD FS comme la connaissance des emplacements réseau, l'authentification de l'appareil et l'authentification à facteurs multiples. Elle abordera comment vous pouvez contrôler les méthodes d'authentification qui sont mises à disposition des utilisateurs finaux, comment ajouter des fournisseurs d'authentification supplémentaires et bien sûr comment configurer des stratégies distinctes régissant les accès extranet. Cette session explore au final comment AD FS (et Azure AD) vous permet d'éviter les scénarios de type « Amener votre propre désastre » (BYOD) ;-) en offrant le niveau de confiance appropriée pour l’accès aux ressources de l'entreprise.
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
Aujourd'hui, tout un chacun souhaite aspire à travailler de n'importe où, sur n'importe quel appareil, etc. Comment permettre une telle expérience avec les ressources internes et dans le cloud (hybride) de l’entreprise, tout en conservant le contrôle dans le contexte du BYOD (Amenez votre propre appareil). Sur la base de l’enregistrement d’appareils abordé dans la première partie (session SEC306), cette session illustrera comment configurer les stratégies d’accès conditionnel qui s'appuient d'une manière souple et intuitive sur les nouvelles capacités d’AD FS comme la connaissance des emplacements réseau, l'authentification de l'appareil et l'authentification à facteurs multiples. Elle abordera comment vous pouvez contrôler les méthodes d'authentification qui sont mises à disposition des utilisateurs finaux, comment ajouter des fournisseurs d'authentification supplémentaires et bien sûr comment configurer des stratégies distinctes régissant les accès extranet. Cette session explore au final comment AD FS (et Azure AD) vous permet d'éviter les scénarios de type « Amener votre propre désastre » (BYOD) ;-) en offrant le niveau de confiance appropriée pour l’accès aux ressources de l'entreprise.
Dans un monde où la mobilité devient omniprésente, où les applications et les services en ligne ont un besoin grandissant de s’échanger de l’information, des technologies qui permettent de soutenir cette transformation de façon sécuritaire sont nécessaires. Pour faire face à cette nouvelle réalité, Oauth et OpenID Connect ont vu le jour et en raison de leur adoption par des acteurs influents de l’industrie, leur utilisation est pratiquement devenue un incontournable. Cette présentation se veut un survol du « framework » Oauth 2.0 ainsi que du protocole OpenID Connect 1.0. Ensemble, nous prendrons connaissance des raisons d’être de chacune de ces technologies, de leurs particularités et de leur fonctionnement. Nous poursuivrons avec des mises en contexte concrètes et terminerons avec un survol des vulnérabilités associées.
La gestion des identités pour qui, pourquoi ?Benoit Mortier
Conférence sur le concept de la gestion des identités, pourquoi c'est important, quels sont les technologies disponible et comment réaliser cela avec des logiciels libres
Présentation effectuée au Meetup Lizard Secu (27 aout 2020)par Christophe Villeneuve sur "Le futur de l'authentification WebAuthn".
Vous allez voir comment se passer du mot de passe en utilisant WebAuthn
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Microsoft
L'authentification unique (fédérée), l’autorisation (déléguée), le « provisioning » sont autant de services devenus essentiels pour l’entreprise désormais étendue à la fois en local et à travers le Cloud (hybride). Avec la souscription croissante d’abonnements à des applications SaaS (Software-as-a-Service), l’utilisation du Cloud (hybride) pour des applications cœur de métier, l’utilisation d’APIs Web RESTful spécialisées avec ce qu’il convient désormais d’appeler l’économie des APIs, le désir de mieux collaborer en interne « à la » Facebook et/ou d’interagir directement avec les réseaux sociaux, les protocoles liés à la gestion des identités et des accès constituent la pierre angulaire de ces dynamiques pour « parler » et établir des « ponts » d’identité et d’accès au-delà des frontières de l’organisation. Cette session vise à démystifier certains de ces protocoles (modernes) fondés sur HTTP. Parmi le choix des possibles en termes de protocoles et de standards, cette session s’intéressera plus particulièrement à des protocoles comme SAML 2.0, WS-Federation et OAuth 2.0, qui sont aujourd'hui très largement répandues voir incontournables avec les applications Web et mobile ainsi qu’avec les APIs Web. La session couvrira également OpenID Connect et effleura également SCIM, deux protocoles qui deviendront à n’en point douter des plus importants dans les prochains mois. Si certains de ces protocoles ont déjà été une source de confusion pour vous ou si vous voulez juste comprendre ce qu'ils font et ce qu’ils peuvent apporter dans vos projets ou pas, alors ne manquez pas cette session.
Speakers : Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France), Jean-Yves Grasset (Microsoft)
Article "Un an de télétravail et de COVID" dans le magazine StartPascal Flamand
Billet d'humeur dans le magazine Start : Retour d’expérience d’un chef d’entreprise et de ses équipes; autres considérations oiseuses sur la résilience des organisations…
Article "La tyrannie du risque zéro" dans le magazine StartPascal Flamand
Billet d'humeur dans le magazine Start : « Fais pas ci, fais pas ça, Viens ici, mets-toi là, Attention, prends pas froid, Ou sinon gare à toi, Mange ta soupe, allez, brosse toi les dents, Touche pas ça, fais dodo, Dis papa, dis maman, Fais pas ci fais pas ça » Qui aurait pu croire que l’injonction de Jacques Dutronc deviendrait le slogan de notre société déboussolée du début du 21 e siècle ? Les hérauts de l’interdiction, les chantres de la
réglementation, les régulateurs de la vie humaine ont pris le pouvoir...
Article "quand les licornes voleront..." dans le magazine StartPascal Flamand
Billet d'humeur dans le magazine Start : Oyez, oyez braves gens, un récent – à l’aune temporelle de cette noble institution, reconnue pour sa jeunesse et son agilité -rapport du Sénat (à retrouver sur senat.fr) met en avant les manques cruels et flagrants de notre industrie numérique nationale....
This document provides the table of contents for a training manual on Keycloak. The table of contents lists 17 chapters that cover topics like using Keycloak SPIs, debugging Keycloak, configuring logging, multifactor authentication, user federation, authentication flows, OpenID Connect, UMA, and examples of using offline tokens. It provides an overview of the content included in the training manual.
This document provides an overview of Keycloak and discusses how to set up and use Keycloak for identity and access management. It covers Keycloak concepts, installation, configuration of realms and clients, integration with applications, and examples of OAuth 2.0, OpenID Connect, and SAML usage with Keycloak. Debugging and analyzing Keycloak implementations is also demonstrated.
This document provides an overview of using the User Managed Access (UMA) protocol and Keycloak for authorization. It describes UMA concepts like request tokens, resources, and permissions. It then demonstrates a sample UMA photo sharing application implemented with Keycloak. The application allows users to create photo albums, share albums with other users, and request access that can be approved or revoked. It also shows how to interact with the UMA functionality through REST APIs to perform actions like requesting access tokens, viewing resources, and managing permissions.
This document provides an overview of training for KeyCloak - Redhat SSO advanced topics. It covers various prerequisites and then discusses several advanced KeyCloak topics like using the SPI to add a custom event listener, debugging KeyCloak SPIs using Eclipse, configuring the KeyCloak logger, enabling multifactor authentication using OTP, understanding MFA concepts in KeyCloak, mapping LDAP groups to KeyCloak roles, getting an access token from LDAP values, using client scopes, understanding client authenticators, understanding token usage including offline tokens, examples of using offline tokens, understanding KeyCloak user federation, customizing the KeyCloak authentication flow, using the Apache mod_auth_openidc module with KeyCloak
This document provides an overview of training for Red Hat Single Sign-On (RH-SSO). It covers prerequisites, installing RH-SSO, starting the RH-SSO server, creating realms and users, and examples of using RH-SSO with client applications. Specific topics covered include cloning RH-SSO examples, registering applications with RH-SSO, configuring the Keycloak adapter, and testing login flows. The document also provides pointers for understanding OAuth2, OpenID Connect, and using RH-SSO's REST API and authorization services.
This document provides an agenda and overview for an OpenIDM training covering topics like installation, configuration of connectors, reconciliation, provisioning workflows, security hardening, and more. The training includes hands-on exercises for connecting OpenIDM to data sources like XML, LDAP, SQL and Active Directory and demonstrating reconciliation, mapping, role-based access control and provisioning workflows.
Pourquoi Busit et Jaguards rapprochent leurs offres : Les deux entreprises, l'une basée à Nice et l'autre à Sophia-Antipolis, rapprochent leur offre individuelle en une offre commune. Le but, notamment, est d'adresser un marché plus large avec une solution de bout en bout. A commencer par la maintenance industrielle
JAGUARDS, éditeur de solutions de gestion opérationnelle, de maintenance et de traçabilité des évènements de sécurité, et BUSIT, éditeur de solutions de pilotage IoT, Big Data et analytique dédiées à la gouvernance et la maîtrise énergétique du bâtiment et de l’industrie, sont heureuses d’annoncer leur partenariat en vue de proposer une offre commune, pour répondre aux enjeux de maintenance industrielle.
La télévision fait partie intégrante de notre quotidien. Avec l'évolution de la technologie, notre manière de consommer le contenu télévisuel a changé de manière significative. L'une des innovations les plus remarquables dans ce domaine est l'IPTV. Mais qu'est-ce que c'est exactement ? Et pourquoi l'ABO IPTV PREMIUM est-il si révolutionnaire ? Découvrons ensemble.
ABO IPTV PREMIUM peut également être utilisé sur des ordinateurs portables, des PC de bureau et même des consoles de jeux.
Regardez vos émissions préférées en déplacement grâce aux applications mobiles disponibles pour iOS et Android.
Que vous ayez une Smart TV Samsung, LG, ou autre, ABO IPTV PREMIUM est compatible avec la plupart des téléviseurs intelligents.
Actu du SEO - Matin Népérien Lille - Agence NeperPhilippe YONNET
L'actu du SEO présentée lors du Matin Népérien de Lille le 4 janvier 2024.
On a parlé DMA, AI Act, Cookies Tiers, des Core Update de Mars, AI Overviews, Bots Google et Crawl, et bien sûr ... des Google Leaks
Les logiciels libres : une opportunite pour votre entreprise?Asher256
L'utilisation des logiciels libres se généralise dans le milieu professionnel, notamment avec l'intégration croissante de logiciels de gestion, de comptabilité et administratifs. Vous découvrirez les principaux points abordés lors de la conférence.
La conférence intitulée « Les logiciels libres, une opportunité pour votre entreprise ? » visait à explorer le potentiel des logiciels libres dans le milieu des affaires.
Dans cette présentation, j'ai principalement mis en avant les avantages des logiciels libres pour les entreprises, tout en abordant certains éléments de manière plus spectaculaire.
L'objectif n'était pas de présenter exhaustivement tous les avantages et désavantages, mais plutôt :
- De simplifier le sujet pour un public découvrant les logiciels libres, potentiellement composé de futurs entrepreneurs.
- De favoriser une session de questions/réponses, durant laquelle nous avons discuté plus objectivement et en détail des avantages et désavantages. Cette session a duré environ une heure.
- De présenter les logiciels libres sous un jour favorable pour inciter les participants à les explorer davantage.
Pour approfondir vos connaissances sur les logiciels libres dans les entreprises, je vous recommande de consulter :
- Un dossier complet sur les logiciels libres dans les entreprises (un document PDF de plus de 80 pages).
Vous pouvez également lire ces articles pour en savoir plus :
- Quels usages des logiciels libres dans les entreprises ?
- L'entreprise doit-elle adopter les logiciels libres ?
- Logiciels libres et entreprise.
La discussion est maintenant ouverte. Quelle est votre perspective sur l'utilisation des logiciels libres dans les entreprises ? Quels sont, selon vous, leurs avantages et leurs inconvénients ? Y a-t-il des écueils à éviter ?
Le gros titres des slides:
Les Logiciels Libres : Une Opportunité Pour Les Entreprises ?
Les logiciels propriétaires ? ● (aussi appelées logiciels privateurs) ● Propriétaire = Un logiciel qui n’est pas ”libre”. ● En général (il y a des variantes) : – Il est interdit de le partager – Droit seulement de l’utiliser – Code source fermé – En général payant
Les Logiciels Libres : Une Opportunité Pour Les Entreprises ?
Les logiciels propriétaires ? ● (aussi appelées logiciels privateurs) ● Propriétaire = Un logiciel qui n’est pas ”libre”. ● En général (il y a des variantes) : – Il est interdit de le partager – Droit seulement de l’utiliser – Code source fermé – En général payant
Les Licences Open Source ● Plus de droits: BSD, X, MIT ● Libres, avec conditions : GPL, LGPL ● Autres licences : Art Libre, Creative Common…
Le logiciel libre, selon la FSF (4 libertés de la GPL) ● Exécuter sans restriction ● Étudier son fonctionnement ● Redistribuer des copies (même payantes) ● Améliorer le programme et publier les améliorations
Comment s’ont développés les logiciels libres ? ● Bénévoles – Organisés (GNU, Apache) – Isolés ● Entreprises – QT – OpenERP ● Divers profiles : – Traducteur – Développeur –
Stratégies pour accroître la visibilité et l'engagement de votre blogAsher256
Dans la présentation proposée, vous explorerez les fondamentaux et les stratégies essentielles pour augmenter la visibilité de votre blog. Voici une élaboration détaillée sur les différents aspects qui seront abordés:
Nous débuterons par des techniques de promotion essentielles. Cela inclut l'utilisation des réseaux sociaux, le networking avec d'autres blogueurs, et la participation à des forums et des groupes en ligne pertinents. L'objectif est de créer une présence initiale qui capte l'attention.
Ensuite, nous discuterons de méthodes pour augmenter le trafic vers votre site. Cela comprend le marketing de contenu, lequel implique la création d'articles intéressants, pertinents et utiles qui répondent aux questions de votre audience cible. Nous aborderons également l'importance de l'email marketing et des newsletters pour attirer régulièrement des visiteurs.
Fidéliser votre audience est important pour assurer le succès à long terme de votre blog. Nous explorerons des techniques telles que l'offre de contenu exclusif, la mise en place de programmes de fidélité, et la régularité des publications. Engager activement vos lecteurs via les commentaires et les réseaux sociaux sera également discuté.
Un des aspects les plus techniques mais essentiels est le référencement naturel, ou SEO (Search Engine Optimization). Vous apprendrez comment optimiser vos articles de blog et votre site pour améliorer votre classement dans les résultats des moteurs de recherche comme Google et Yahoo. Cela inclut l'optimisation des mots-clés, la création de liens retour (backlinks), l'amélioration de la vitesse de chargement du site, et plus encore.
Les dernières core update, l'arrivée de l'IA dans l'algorithme, les HCU, les product revienws upates ont sérieusement mis à mal l'efficacité des vieilles méthodes SEO. Il faut passer à autre chose...
Requetes ecommerce - les différences US vs Europe.pptxPhilippe YONNET
Beaucoup de fonctionnalités présentes sur les requêtes ecommerce sur les SERPs de Google aux USA, n'existent pas encore sur Google FR. La faute au RGPD, au DMA, mais cela peut arriver sous une autre forme en France, avec un impact potentiel non négligeable sur l'e-commerce
2. Pourquoi OAUTH - A quoi cela sert-il ?
- Donner à une application quelconque l'accès à certaines informations appartenant
à l'utilisateur, et hébergées sur un serveur Web quelconque :
- Avec le consentement de l'utilisateur, et la possibilité de révoquer l'application
- Sans avoir à divulguer à l'application son mot de passe sur le serveur Web
- de façon simple (par jetons opaques à usage multiple), en une ou 2 requêtes
- de façon standardisée et sécurisée (HTTPS, permissions (scope), anti-rejeu de jeton,
authentification du client, consentement de l'utilisateur, flux ne passant pas forcément
par le navigateur)
- protocole ouvert aux extensions, ce qui a permis par exemple l'utilisation d'assertions
SAML pour obtenir un jeton d'accès ou authentifier un client, ou l'extension à OpenID
Connect
3. OAUTH - OpenID Connect : Terminologie
- owner : propriétaire des informations (ressources). Généralement un utilisateur mais
pas forcément.
- resource : information / donnée protégée à laquelle on veut donner un accès contrôlé.
- authorization server ou OAUTH/OpenID provider: serveur chargé d'authentifier
l'utilisateur, de lui demander son consentement et de délivrer les jetons d'accès.
- resource server : serveur hébergeant les données protégées. En général différent du
serveur d'autorisation OAUTH sauf dans le cas d'OpenID Connect où l'OpenID
Provider joue aussi le rôle de serveur de ressources avec le point d'entrée "UserInfo".
- client / relying party: tout type d'application qui demande un accès à des données. Par
exemple, une application hébergée sur un serveur, un poste de travail, une application
native sur mobile ou avec une partie locale et une partie hébergée (Ajax, Javascript).
4. OAUTH 1.0 / OAUTH 2.0
- OAUTH 1.0 obsolète
- OAUTH 2.0 généralisé avec des différences d'implémentations d'où l'émergence d'une
surcouche visant à simplifier l'interaction avec différents types de serveur OAUTH 2 :
OAuth.io
- pas d'expiration / expiration des jetons (mais possibilité de les renouveler)
- pas de notion de scope / apparition du scope (ce à quoi un jeton donne droit)
- signature des requêtes (problèmes d'inter-opérabilités) / utilisation d'HTTPS à la place
- pas de serveur d'autorisation / serveur d'autorisation externe
5. OAUTH 2.0 – Caractéristiques principales
- 4 façons d'obtenir l'accord de l'utilisateur et des extensions possibles (SAML)
- 2 points d'entrées (autorisation, jeton d'accès), UserInfo en plus pour OpenID Connect
- 2 types de clients: privés / publiques
- 3 types d'application
- applications dites privées (sur un serveur Web sécurisé)
- applications dites publiques (qui s'exécute dans un navigateur, le code de l'application
ayant été téléchargé au préalable sur un serveur)
- applications publiques natives (sur PC ou mobile par exemple)
6. OAUTH 2.0 – Principe général d'accès à une ressource protégée
Obtention d'un accord de l'utilisateur puis obtention d'un jeton d'accès
7. OAUTH 2.0 – Renouvellement d'un jeton d'accès expiré
8. OAUTH 2.0 – Flux de l'obtention d'accord par code (application Web)
9. OAUTH 2.0 – Exemples de demandes de jeton d'accès
avec code d'autorisation ou assertion SAML
10. OAUTH 2.0 – Obtention d'accord implicite (application mobile ou JavaScript)
11. OAUTH 2.0 – Obtention d'accord par mot de passe utilisateur
(applications de confiance)
12. OAUTH 2.0 – Accord par authentification du client
(cas d'usage serveur à serveur)
13. OpenID Connect : extension d'OAUTH 2.0
- Support des différents types de consentement, autorisation pour accès déconnecté
- Le serveur OpenID délivre un "ID Token" en plus de l' "Access Token"
- Nouveau types de flux : flux hybride et redirection à partir d'une application externe
14. OpenID Connect : autres caractéristiques
- Nouveaux services / points d'entrée qui se comportent comme des ressources OAUTH
- UserInfo Endpoint : permet d'obtenir des informations particulières (claims) sur un
utilisateur, pas forcément présentes dans l' "ID Token"
- Dynamic Client Registration 1.0 : permet de ne pas avoir à déclarer au préalable
le client OpenID Connect auprès du serveur
- OpenID Connect Discovery 1.0 : permet de connaître les caractéristiques d'un serveur
OpenID Connect
- OpenID Connect Session Management 1.0 : permet de consulter les sessions et de les
fermer