Masque ppt avec logo opérateur (Canopé, CNED

OpenID Connect – le futur de la fédération d’identités ?
JRES 2015
1
Plan
La fédération dans l’Education Nationale
OpenID Connect
France Connect
Retour d’expérience
Perspectives
2
La fédération dans l’Education Nationale
Présentation
Historiquement, un système d'information
 organisé de manière centralisée
 avec une structure décentralisée
Chaque académie gère son propre SI ( applications nationales imposées par le Ministère + applications
locales indépendantes)
Une fédération SAML 2.0
 d’abord intra Education Nationale en
« point à point »…
 Puis une ouverture vers d’autres
partenaires en « hub and spoke »
Chaque académie fédérée directement avec chaque
centre d'hébergement
3
La fédération dans l’Education Nationale
Le hub de fédération
3 objectifs de simplification
 Décharger les équipes académiques de la mise en œuvre de la fédération
 Masquer vis-à-vis de l'extérieur la complexité et les spécificités de l’Éducation nationale
 Conserver la possibilité d'intégrer les services fédérés dans le portail académique des
utilisateurs pour que l'accès se fasse de façon identique pour toutes les applications,
qu'elles soient fédérées ou non
2 limitations
 l'interconnexion avec de nouveaux partenaires qui ne sont pas familiers avec SAML 2.0
est souvent complexe et demande beaucoup d'accompagnement pour intégrer leurs
services
 SAML 2.0 n'est pas adapté à des usages mobiles alors même que l'ouverture au grand
public nécessite de prendre en compte ce mode de connexion
4
OpenID Connect
Présentation
Couche d'identification implémentée en complément du protocole OAuth 2.0
OAuth 2.0 est un protocole de délégation d'accès entre un « Fournisseur d'identité » et une application
cliente (qui peut être une application web, mobile, ou tout type d'application)
Permet
 l'authentification d'un utilisateur
 la propagation d'attributs d'identité
Les échanges de jetons et d'attributs s'effectuent par appels de webservices REST et
redirections HTTP sur des points d'entrée définis
Adopté par la plupart des grands acteurs du Web, tels que Google ou Facebook
Avantages : standardisé, sécurisé, léger (adapté à la mobilité)
5
France Connect : présentation et état des lieux
Présentation
Piloté par le SGMAP et la Dinsic
Un composant essentiel de la stratégie d’Etat plateforme
Chaîne de confiance entre les administrations permettant l’échange de données
Garantie que le service est délivré à la bonne personne
Contrôle par l’usager de la circulation des données le concernant
Mode Agile
Le projet évolue au fil des itérations
Sessions « OpenLab » auxquelles participent les administrations volontaires
Expérimentation depuis septembre 2015, ouverture janvier 2016
6
France Connect : présentation et état des lieux
Cinématique Fourniture d’identité/ de services
Un usager veut accéder à un service
nécessitant une identification
1.L’usager accède au service et clique
sur le bouton France Connect
2.Il est renvoyé vers FC qui lui présente
la liste des FI qu’il peut utiliser
3.Il choisit un FI
4.Il saisit ses identifiants pour ce FI
5.Un jeton portant l’identité est envoyé
par le FI à FC
1.FC fait valider l’identité fournie
2.l’identité est validée
6.Un jeton portant l’identité est envoyé
par FC au FS
L’usager est connecté sur le service
7
France Connect : présentation et état des lieux
Cinématique Fourniture de données
Clef de voûte de l’Etat Plateforme
Pour l’usager : plus de pièces justificatives à transmettre, les échanges se font directement entre FS et FD sous son
contrôle
Pour les FS : confiance dans la fiabilité des informations relatives à l’usager
8
Le MEN et France Connect
Travaux
Participation DNE-B / Pôle Identité aux Openlab (depuis décembre 2014)
Ateliers interministériels
Participation au Hackathon Etat Plateforme (juin 2015)
Pôle Identité / Académie de Rennes : prototype IPANEMA (accès parents très simplifié)
Prototype d’intégration ATEN / France Connect (septembre-octobre 2015)
ATEN : guichet des élèves et parents pour l’accès aux téléservices et aux ENT
En parallèle de l’authentification ATEN
Expérimentation novembre/décembre dans des académies volontaires
Appel à Projets Plan Investissements d’Avenir sur la modernisation de l’action publique
Pôle IH2M / Académie de Rennes : simplifier les accès parents et les échanges de données avec les
collectivités
9
Démonstration
Cinématique du prototype réalisé avec ATEN
10
Retour d’expérience
SAML
OpenID Connect
•
Association manuelle : échange de
metadonnées (xml) et de clés publiques.
Processus assez lourd.
•
Le client reçoit des Clés API et déclare une
adresse de retour auprès de l’IdP. Processus
plus simple.
•
Nombreux cas d’usage. EN utilise surtout le
mode IdP initiated (accès à partir de l’ IdP).
•
Moins de cas d'usage. Tous SP initiated (accès
à partir du service, puis redirection vers IdP).
•
Demande du consentement de l'utilisateur
optionnelle. En pratique très peu utilisée.
•
Demande de consentement obligatoire.
•
Application en tant que SP : intégration d'un
module SAML complexe, ou déploiement
dans une infrastructure SAML existante.
•
Application en tant que SP : intégration
directe d'un « module » OpenID Connect.
•
Mature et stable
•
Encore relativement jeune
11
Perspectives
Expérimentation en cours
Pousser l’implémentation jusqu’à la simplification du parcours utilisateur
Devenir Fournisseur de données
Devenir Fournisseur d’identité ?
12