Tequila, l`ouverture au monde - Flash informatique

À votre service
Tequila, l’ouverture au monde
Claude.Lecommandeur@epfl.ch, EPFL - DIT, responsable Tequila
The new Tequila is here and it is a great growth.
Le Tequila nouveau est arrivé et c’est un grand cru.
Introduction
Il y a bien longtemps que je ne vous avais entretenu de Tequila.
Les gens heureux n’ont pas d’histoire, dit-on, il en est de même
pour les logiciels qui fonctionnent bien. Mais le monde bouge, des
empires se font et se défont, des civilisations fleurissent alors que
d’autres déclinent, le temps est venu pour Tequila de s’offrir un
lifting dont cet article va vous donner un pâle reflet.
Authentification forte
Tequila offrait déjà la possibilité de s’authentifier avec un mot de
passe ou un certificat SSL. Mais la mode est à l’authentification dite
forte ou multifacteur. Multifacteur signifie que l’authentification
nécessite plusieurs canaux physiquement séparés pour s’effectuer.
Le premier canal est l’ordinateur sur lequel vous tapez le username
et le mot de passe. Le second est généralement un smartphone
ou une clé physique spéciale qui peut générer un code complémentaire, le plus souvent numérique. Il existe plusieurs protocoles
relativement standard permettant de calculer cette clé complémentaire. Celui choisi pour Tequila est OATH. On trouve sur le
marché des clés physiques OATH ainsi que plusieurs applications
pour smartphones. Une des plus conviviales est Google Authenticator qui fonctionne très bien sur tous les smartphones usuels.
Si un site protégé par Tequila s’estime suffisamment important
pour avoir une sécurisation supplémentaire, il peut demander à
Tequila d’imposer une authentification forte à l’utilisateur. Dans
ce cas le formulaire usuel de login comportera une ligne supplémentaire pour entrer un code à six chiffres que l’utilisateur devra
absolument donner pour s’authentifier.
Les utilisateurs disposant d’un smartphone auront dû au préalable
y installer leur application OATH, puis se connecter sur le site Gaspar pour l’initialiser. Ainsi, toutes les trente secondes l’application
va générer une nouvelle clé à six chiffres qui sera à utiliser lors du
login Tequila. Les utilisateurs n’ayant pas (encore) de smartphone
peuvent demander une clé physique qui effectue le même travail.
Protocoles d’authentification
Quand Tequila fut créé (2003), il n’existait pas de protocole
d’authentification Web Single Sign-on (méthode permettant à un
utilisateur de ne procéder qu’à une seule authentification pour
plusieurs applications) d’une quelconque notoriété. Cette situa-
tion a changé, Il en existe maintenant plusieurs. Deux d’entre eux,
OAuth2 et SAML2 sont particulièrement à la mode et nous avons
décidé de les supporter dans Tequila. Attention, ne pas confondre
OAuth et OATH, vous vous couvririez de ridicule.
Dans la pratique, si vous avez un site Web sécurisé qui parle un
de ces protocoles, plus besoin de fichiers .htaccess et autres use
Tequila dans votre code, juste un peu de configuration et vous
bénéficierez de toutes les merveilles de Tequila.
Support de OAuth2
OAuth signifie Open Standard for Authorization. Le 2 signifie
version 2. Il y a eu une version 1, probablement commise par des
débutants, exagérément et inutilement complexe. Heureusement
la version 2 est apparue, totalement incompatible avec la version 1, mais qui rend l’écriture de clients et de serveurs beaucoup
plus aisée. L’intégration dans Tequila s’est faite d’une manière relativement simple et directe, l’implémentation du serveur OAuth2
est totalement indépendante de Tequila. Seul son accès est protégé par Tequila via le protocole usuel des clients Tequila. Ainsi, il
y a indépendance totale entre les deux implémentations, en un
mot, un (éventuel) bug dans OAuth2 ne peut aucunement mettre
en cause le fonctionnement de Tequila.
Support de SAML2
SAML2 signifie Security Assertion Markup Language. C’est un
autre protocole d’authentification et de contrôle d’accès basé,
comme son nom l’indique, sur XML, donc extrêmement verbeux
et peu efficace. SAML2 est le protocole utilisé par l’outil de fédération Shibboleth, lui-même utilisé par la fédération Switch AAI.
L’intégration dans Tequila est identique à celle de OAuth2:
époustouflante.
Ressources
Vous vous dites sûrement:Tequila offre beaucoup plus de possibilités que OAuth2 et SAML2, comment vais-je faire pour imposer des contraintes aux utilisateurs autorisés (require), demander
des attributs particuliers (request) ou exiger une authentification
forte ?
Rassurez-vous, je suis là. La notion de ressource est intégrée à
Tequila depuis la nuit des temps. Une ressource (au sens Tequila)
est une configuration de site Web sécurisé stockée dans le serveur
Tequila, c’est-à-dire que toutes les caractéristiques du site sécurisé
sont connues à l’avance de Tequila et lors d’une authentification,
ce site ne communique que l’ identificateur de la ressource lui
correspondant. Bien que très utile cette possibilité n’a jamais été
réellement exploitée. Cela va changer.
16 JUILLET 2013 – N° 4
27
Tequila, l’ouverture au monde
Tous les clients Oauth2 et SAML2 devront être déclarés comme
ressource. Toutes les caractéristiques spécifiques Tequila et Oauth2 ou SAML2 y seront spécifiées.
description d’une ressource SAML2
Les gestionnaires de sites protégés par Tequila comprendront.
Comme vous pouvez le constater, un outil de gestion Web des
ressources existe, mais il n’est pas encore disponible pour le grand
public. Pour l’instant, si vous désirez configurer votre application
comme ressource, il vous faudra me contacter par courriel.
Références
description d’une ressource native
z
z
z
z
en.wikipedia.org/wiki/Oath,
en.wikipedia.org/wiki/OAuth,
datatracker.ietf.org/wg/oauth/,
en.wikipedia.org/wiki/SAML_2.0. n
Brèves
Problème de l'été
Manuel.Ojanguren@epfl.ch, EPFL-SB, professeur honoraire de mathématiques
A little maths problem to keep your brain cells busy
this summer.
Pour ne pas laisser vos neurones se ramollir pendant
l’été, voici un petit problème de mathématiques, qui,
comme les saisons, réapparaît cycliquement.
L'énoncé
Deux prisonniers, qu’on appellera simplement Ashokavardhana et
Balagangadhara, partagent la même cellule.
Le directeur de la prison obéissant aux injonctions de réduire les
dépenses publiques, leur propose un jeu: Ashokavardhana se pré-
sentera dans le bureau du directeur, qui sera assis derrière une
table sur laquelle sera posé un grand échiquier. Sur chaque case
de celui-ci, le directeur aura posé une pièce, qui présentera, au
hasard, le côté pile ou le côté face. Ashokavardhana s’assiéra en
face du directeur, qui choisira une case et la lui indiquera. Ashokavardhana, vu le choix du directeur, devra retourner une pièce
de son propre choix, après quoi on ne touchera plus à l’échiquier.
Ashokavardhana sortira du bureau et Balagangadhara, sans communiquer avec lui, y entrera et observera l´échiquier.
Si Balagangadhara arrive à indiquer la case choisie par le directeur, les deux compères seront libérés. Sinon, ils seront donnés en
repas aux crocodiles du Jardin zoologique.
Ashokavardhana et Balagangadhara peuvent-ils s’accorder sur
une stratégie pour se faire libérer? n
ISSN 1420-7192