Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation








télécharger 183.64 Kb.
titreRésumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation
page1/14
date de publication04.07.2017
taille183.64 Kb.
typeRésumé
ar.21-bal.com > documents > Résumé
  1   2   3   4   5   6   7   8   9   ...   14


Fédération d'identités et propagation d'attributs avec Shibboleth

Olivier Salaün

Comité Réseau des Universités

olivier.salauncru.fr

Florent Guilleux

Comité Réseau des Universités

florent.guilleuxcru.fr

Pascal Aubry

IFSIC – Université de Rennes 1

pascal.aubryuniv-rennes1.fr

Résumé

Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation.

Nous donnons ensuite les solutions techniques existantes à même de répondre aux besoins énoncés, puis focalisons sur le système Shibboleth, projet internet2. Nous en décrivons le fonctionnement, et montrons comment ce système peut être mis en œuvre.

Nous décrivons enfin la fédération pilote du CRU, basée sur Shibboleth, et nous appuyons sur cet exemple pour mettre en exergue les problèmes organisationnels rencontrés lors de la mise en place d’une telle fédération.

Mots clefs

Fédération d’identités, propagation d’attributs, coopération inter-établissements, SAML, Shibbotleth.

Avertissement au lecteur

Cet article est le support du tutoriel du même nom présenté lors du congrès JRES2005, à Marseille en décembre 2005. Si la fédération d’identités et la propagation d’attributs sont des problématiques anciennes, les solutions présentées dans cet article sont pour la plupart récentes, et les implémentations et les formats d’échange montrés ici sont susceptibles d’évoluer sensiblement dans un futur proche.

Par ailleurs, plusieurs prérequis sont nécessaires pour une bonne compréhension de l’article. Le lecteur pourra se reporter aux références bibliographiques correspondantes pour plus d’informations. En particulier, aucun rappel n’est fait dans cet article sur les notions suivantes :

  • Techniques web (paramètres CGI, redirections, cookies) ;

  • Authentification unifiée (Single Sign-On) ;

  • Certificats serveur.

Le lecteur pourra enfin se reporter à la liste située en fin de document pour une explication des abréviations employées au fil du texte.

La version imprimée pour les actes papier de JRES2005 n’est pas la version définitive de ce document, qui peut être trouvée sur le site de la fédération pilote du CRU (http://federation.cru.fr).

Table des matières


Table des matières 4

Table des matières 4

1 Problématique, besoins et scenarii d’utilisation 5

2 Les solutions techniques 8

3 Le système Shibboleth 11

4 La fédération pilote du CRU, illustration de la mise en place d’une fédération d'identités 34

5 Perspectives 39

Références 41

Références 41

Liste des figures 43

Liste des figures 43

Sigles utilisés 44

Sigles utilisés 44

Notes 46

1Problématique, besoins et scenarii d’utilisation

1.1Problématique et besoins


La multiplication des référentiels d’authentification est une vieille habitude dans le monde des applications web. Lorsqu’une application ressent le besoin de restreindre l’accès à tout ou partie de ses services, elle crée un référentiel d’utilisateurs, avec des identifiants, des rôles, des mots de passe, un système de rappel/réallocation de ces mots de passe. Ce foisonnement de référentiels s’est fait au détriment de la sécurité, de l’intégration des services et surtout au détriment de l’ergonomie pour les utilisateurs.

La tendance s’est inversée dans notre contexte de l’enseignement supérieur avec le déploiement des ENT [1] dont deux briques majeures sont l’annuaire (LDAP [2]) et l’authentification unifiée (Single Sign-On, ou SSO [3]). On ne peut en effet se passer du service d’authentification unifiée lorsqu’on propose un portail des services aux utilisateurs. Mais ce service d’authentification reste cantonné à des besoins internes à l’établissement ; il n’est pas utilisable par l’étudiant lorsqu’il accède à un cours en ligne proposé par une université partenaire (dans le contexte d’une UNR [4] par exemple) ou par un chercheur accédant à un portail documentaire national. Faute de pouvoir interconnecter ces systèmes d’authentification locaux et les référentiels utilisateurs associés, les bases d’authentification dédiées se multiplient.

En particulier depuis l’avènement des UNR, les coopérations entre établissements sont de plus en plus nombreuses et étroites. Toutes les solutions artisanales qui consistaient en général à dupliquer les informations dans les systèmes d’information (SI) des établissements partenaires sont rendues caduques par le nombre : il ne s’agit plus aujourd’hui de régler quelques cas particuliers (étudiants aux inscriptions multiples pour des diplômes co-habilités ou personnels collaborant à des projets transversaux), mais de répondre à une problématique de nombre. Les techniques habituelles ont montré leurs limites et d’autres doivent les substituer afin de répondre aux ambitions politiques affichées en matière de collaboration.

La fédération d’identités répond à ce besoin d’interconnexion des systèmes d’authentification d’établissements en proposant deux services : la délégation de l’authentification et la propagation d’attributs utilisateur. Pour l’instant ces technologies se limitent au web mais des travaux sont en cours pour étendre leur champ d’application, notamment dans le domaine des grilles de calcul.

La délégation de l’authentification consiste à utiliser le service d’authentification proposé par l’établissement de rattachement de l’utilisateur, même lorsque l’application requérant cette phase d’authentification est un service extérieur à l’établissement. La phase d’orientation de l’utilisateur vers son « fournisseur d’identités » utilise des mécanismes standard (redirections HTTP [5], JavaScript et cookies [6]) ainsi qu’un service de découverte propre à la fédération. Le gestionnaire d’un service peut dès lors envisager plus largement l’accès à un service sans avoir à gérer des comptes utilisateurs pour des populations extérieures.

Le second service amené par la fédération d’identités est la propagation d’attributs utilisateur. Alors que la phase d’authentification ne fournit aux applications qu’un identifiant (éventuellement anonyme) pour l’utilisateur, ce second service consiste à collecter d’autres attributs relatifs à l’utilisateur auprès de son établissement de rattachement. Ces attributs sont de deux types :

  • ceux permettant de personnaliser le service (nom, prénom, adresse email…)

  • ceux requis pour effectuer un contrôle d’accès (catégorie d’utilisateur, formation, rôles …).
  1   2   3   4   5   6   7   8   9   ...   14

similaire:

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconL’eplf renforce son offensive internationale en matière d’innovation
«l’eplf agit comme une fédération d’innovateurs. Nous ouvrons la voie vers les innovations de demain. Et nous proposons la plateforme...

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconHegel, Esthétique, les pages dans le chapitre sur le paysage dans la peinture
«paysage intelligible». Sous ce rempart de drapeau et autre cadastre, l’île finit par disparaître au profit des «figurines» du «théâtre...

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconTout d’abord une bonne nouvelle : le Préfet nous fera l’honneur de...
«avis d’enquête publique» en caractères gras majuscules d’au moins 2cm de hauteur et les informations visées à l’article R. 123-9...

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconRésumé : Cet article s’intéresse aux impacts des open space en matière...

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconL’entreprise que nous avons lancée IL y a un an et que la contribution...

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconWilliam james
«aspects», un côté conscience et un côté matière, et ces deux côtés demeurent aussi irréductibles que les attributs fondamentaux,...

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconL’invention du parlage
«Si nous n’avions eu que des besoins physiques, nous aurions fort bien pu ne parler jamais.»

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconLe savoir nous l’utilisons tous. Rappelons-nous l’école et la façon...
«Un des grands enseignements de la physique quantique est que les particules élémentaires sont indéterminées en dehors de l’observation....

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconLyon hotel des ventes des tuiliers
«chiffres», «lettres et monogrammes», «écussons» et autres attributs héraldiques découpés et collés dans un album de 37 pages format...

Résumé Nous décrivons tout d’abord la problématique et les besoins en matière de fédération d’identités et de propagation d’attributs, en donnant des scenarii d’utilisation iconPropos et textes recueillis, traduits et annotés
«Ceux qui nous font des reproches ne savent pas tout ce qu’il y a dans la nature d’artiste, et pourquoi nous imposer des devoirs...








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com