Tequila, l`ouverture au monde - Flash informatique
Transcription
Tequila, l`ouverture au monde - Flash informatique
À votre service Tequila, l’ouverture au monde Claude.Lecommandeur@epfl.ch, EPFL - DIT, responsable Tequila The new Tequila is here and it is a great growth. Le Tequila nouveau est arrivé et c’est un grand cru. Introduction Il y a bien longtemps que je ne vous avais entretenu de Tequila. Les gens heureux n’ont pas d’histoire, dit-on, il en est de même pour les logiciels qui fonctionnent bien. Mais le monde bouge, des empires se font et se défont, des civilisations fleurissent alors que d’autres déclinent, le temps est venu pour Tequila de s’offrir un lifting dont cet article va vous donner un pâle reflet. Authentification forte Tequila offrait déjà la possibilité de s’authentifier avec un mot de passe ou un certificat SSL. Mais la mode est à l’authentification dite forte ou multifacteur. Multifacteur signifie que l’authentification nécessite plusieurs canaux physiquement séparés pour s’effectuer. Le premier canal est l’ordinateur sur lequel vous tapez le username et le mot de passe. Le second est généralement un smartphone ou une clé physique spéciale qui peut générer un code complémentaire, le plus souvent numérique. Il existe plusieurs protocoles relativement standard permettant de calculer cette clé complémentaire. Celui choisi pour Tequila est OATH. On trouve sur le marché des clés physiques OATH ainsi que plusieurs applications pour smartphones. Une des plus conviviales est Google Authenticator qui fonctionne très bien sur tous les smartphones usuels. Si un site protégé par Tequila s’estime suffisamment important pour avoir une sécurisation supplémentaire, il peut demander à Tequila d’imposer une authentification forte à l’utilisateur. Dans ce cas le formulaire usuel de login comportera une ligne supplémentaire pour entrer un code à six chiffres que l’utilisateur devra absolument donner pour s’authentifier. Les utilisateurs disposant d’un smartphone auront dû au préalable y installer leur application OATH, puis se connecter sur le site Gaspar pour l’initialiser. Ainsi, toutes les trente secondes l’application va générer une nouvelle clé à six chiffres qui sera à utiliser lors du login Tequila. Les utilisateurs n’ayant pas (encore) de smartphone peuvent demander une clé physique qui effectue le même travail. Protocoles d’authentification Quand Tequila fut créé (2003), il n’existait pas de protocole d’authentification Web Single Sign-on (méthode permettant à un utilisateur de ne procéder qu’à une seule authentification pour plusieurs applications) d’une quelconque notoriété. Cette situa- tion a changé, Il en existe maintenant plusieurs. Deux d’entre eux, OAuth2 et SAML2 sont particulièrement à la mode et nous avons décidé de les supporter dans Tequila. Attention, ne pas confondre OAuth et OATH, vous vous couvririez de ridicule. Dans la pratique, si vous avez un site Web sécurisé qui parle un de ces protocoles, plus besoin de fichiers .htaccess et autres use Tequila dans votre code, juste un peu de configuration et vous bénéficierez de toutes les merveilles de Tequila. Support de OAuth2 OAuth signifie Open Standard for Authorization. Le 2 signifie version 2. Il y a eu une version 1, probablement commise par des débutants, exagérément et inutilement complexe. Heureusement la version 2 est apparue, totalement incompatible avec la version 1, mais qui rend l’écriture de clients et de serveurs beaucoup plus aisée. L’intégration dans Tequila s’est faite d’une manière relativement simple et directe, l’implémentation du serveur OAuth2 est totalement indépendante de Tequila. Seul son accès est protégé par Tequila via le protocole usuel des clients Tequila. Ainsi, il y a indépendance totale entre les deux implémentations, en un mot, un (éventuel) bug dans OAuth2 ne peut aucunement mettre en cause le fonctionnement de Tequila. Support de SAML2 SAML2 signifie Security Assertion Markup Language. C’est un autre protocole d’authentification et de contrôle d’accès basé, comme son nom l’indique, sur XML, donc extrêmement verbeux et peu efficace. SAML2 est le protocole utilisé par l’outil de fédération Shibboleth, lui-même utilisé par la fédération Switch AAI. L’intégration dans Tequila est identique à celle de OAuth2: époustouflante. Ressources Vous vous dites sûrement:Tequila offre beaucoup plus de possibilités que OAuth2 et SAML2, comment vais-je faire pour imposer des contraintes aux utilisateurs autorisés (require), demander des attributs particuliers (request) ou exiger une authentification forte ? Rassurez-vous, je suis là. La notion de ressource est intégrée à Tequila depuis la nuit des temps. Une ressource (au sens Tequila) est une configuration de site Web sécurisé stockée dans le serveur Tequila, c’est-à-dire que toutes les caractéristiques du site sécurisé sont connues à l’avance de Tequila et lors d’une authentification, ce site ne communique que l’ identificateur de la ressource lui correspondant. Bien que très utile cette possibilité n’a jamais été réellement exploitée. Cela va changer. 16 JUILLET 2013 – N° 4 27 Tequila, l’ouverture au monde Tous les clients Oauth2 et SAML2 devront être déclarés comme ressource. Toutes les caractéristiques spécifiques Tequila et Oauth2 ou SAML2 y seront spécifiées. description d’une ressource SAML2 Les gestionnaires de sites protégés par Tequila comprendront. Comme vous pouvez le constater, un outil de gestion Web des ressources existe, mais il n’est pas encore disponible pour le grand public. Pour l’instant, si vous désirez configurer votre application comme ressource, il vous faudra me contacter par courriel. Références description d’une ressource native z z z z en.wikipedia.org/wiki/Oath, en.wikipedia.org/wiki/OAuth, datatracker.ietf.org/wg/oauth/, en.wikipedia.org/wiki/SAML_2.0. n Brèves Problème de l'été Manuel.Ojanguren@epfl.ch, EPFL-SB, professeur honoraire de mathématiques A little maths problem to keep your brain cells busy this summer. Pour ne pas laisser vos neurones se ramollir pendant l’été, voici un petit problème de mathématiques, qui, comme les saisons, réapparaît cycliquement. L'énoncé Deux prisonniers, qu’on appellera simplement Ashokavardhana et Balagangadhara, partagent la même cellule. Le directeur de la prison obéissant aux injonctions de réduire les dépenses publiques, leur propose un jeu: Ashokavardhana se pré- sentera dans le bureau du directeur, qui sera assis derrière une table sur laquelle sera posé un grand échiquier. Sur chaque case de celui-ci, le directeur aura posé une pièce, qui présentera, au hasard, le côté pile ou le côté face. Ashokavardhana s’assiéra en face du directeur, qui choisira une case et la lui indiquera. Ashokavardhana, vu le choix du directeur, devra retourner une pièce de son propre choix, après quoi on ne touchera plus à l’échiquier. Ashokavardhana sortira du bureau et Balagangadhara, sans communiquer avec lui, y entrera et observera l´échiquier. Si Balagangadhara arrive à indiquer la case choisie par le directeur, les deux compères seront libérés. Sinon, ils seront donnés en repas aux crocodiles du Jardin zoologique. Ashokavardhana et Balagangadhara peuvent-ils s’accorder sur une stratégie pour se faire libérer? n ISSN 1420-7192