Single Sign On

Single Sign On
Nicolas Dewaele
Single Sign On
et Web SSO
Page 1
Sommaire
Introduction
I- Présentation de la technologie
II- Architectures classiques
et étude du marché
III- Implémentation en entreprise
IV- Présentation de systèmes SSO
Annexes
Nicolas Dewaele
Single Sign On
et Web SSO
Page 2
Introduction
Nicolas Dewaele
Single Sign On
et Web SSO
Page 3
Introduction
«
Dialogue entre utilisateurs
du réseau informatique :
- La gestion des mots de passe de mon entreprise est très compliquée :
D'abord, le service informatique me fait renseigner un mot de passe pour entrer
sur Windows qui doit être obligatoirement compliqué, donc je l'oublie
régulièrement et je suis obligé de rappeler le service informatique.
Ce mot de passe ne dure qu'un certain temps donc à chaque fois c'est la
même chose.
En plus, il faut retenir un mot de passe pour les mails et pour chaque
application, je ne m'en sors plus.
- Moi j'utilise un carnet que je laisse toujours sur mon bureau et je note
soigneusement tous mes mots de passe
à chaque fois qu'ils changent.
»
Conclusions :
→ La multiplication des systèmes de sécurité
devient à terme contre-productive.
→ Ce n'est pas à l'utilisateur de centraliser les informations
de sécurité mais au système informatique !
Nicolas Dewaele
Single Sign On
et Web SSO
Page 4
I- Présentation générale
I- Présentation générale
Nicolas Dewaele
Single Sign On
et Web SSO
Page 5
I- Présentation générale
Définition générale du SSO
- Single Sign On : Authentification unique
- Permet à un utilisateur d'accéder à plusieurs services en
ayant à effectuer qu'une opération d'authentification.
- L'information d'authentification se propage sur chacun des
services réseau.
Nicolas Dewaele
Single Sign On
et Web SSO
Page 6
I- Présentation générale
Avantages du SSO
- Simplification de l'authentification de l'utilisateur :
- Cela lui évite d'avoir à retenir trop de mots de
passe ou pire, à les noter dans un carnet !
- Cela lui évite de taper un mot de passe à chaque fois
qu'il lance une application
- Sécurité améliorée : Toute la sécurité est laissée entre les
mains d'un serveur spécialisé. Chaque application n'est pas
responsable de la sécurité.
-Cohérence dans la gestion des comptes utilisateurs
(allocation, expiration, mises à jour)
 Ergonomie utilisateur, rationalisation dans la gestion des comptes.
Nicolas Dewaele
Single Sign On
et Web SSO
Page 7
I- Présentation générale
Critique du SSO
- Une seule authentification pour accéder à toutes les
ressources donc en cas d'obtention d'un mot de passe par une
personne mal intentionnée, elle aura l'accès à tous les services
réseau.
- Pour éviter cela, il faut réfléchir à une politique
d'authentification et si besoin passer à un système
d'authentification lourde.
Nicolas Dewaele
Single Sign On
et Web SSO
Page 8
I- Présentation générale
Principes du SSO
- Concepts inspirés de Kerberos :
- Authentification assurée par un serveur dédié et transparente pour l’application
(pas de recueil du couple identifiant+mot de passe)
- Tickets délivrés au client (maintien de la session d’authentification) et aux
applications (transmission de l’identité de l’utilisateur)
- Relation de confiance entre les applications et le serveur
d’authentification (cryptographie symétrique ou asymétriques,
certificats X509)
Nicolas Dewaele
Single Sign On
et Web SSO
Page 9
I- Présentation générale
Définition du SSO lourd
- Le SSO lourd nécessite une installation et une configuration
sur chacun des clients.
- Cette installation peut être sous forme de logiciel « agent ».
- Le SSO lourd peut aussi concerner une méthode
d'authentification forte (certificats, carte à puce, clé USB,
biométrie).
Nicolas Dewaele
Single Sign On
et Web SSO
Page 10
I- Présentation générale
Définition du Web SSO
- Le Web SSO fournit une signature unique pour les
Web services basés sur HTTP et HTTPS.
- Il est considéré comme léger car aucune configuration
n'est à faire côté client, tout se passe sur le serveur.
Nicolas Dewaele
Single Sign On
et Web SSO
Page 11
I- Présentation générale
Termes associés au SSO
Identification / Authentification / Autorisation
L'identification permet de vérifier
l'identité d'une personne via un login
par exemple.
L'authentification permet de s'assurer
Qu'une personne est bien celle qu'elle
Prétend être par login et mot de passe
Et plus encore par biométrie.
L'autorisation permet à partir de
l'identification et l'authentification de
définir des droits à une personne.
Le travail du SSO est avant tout l'authentification.
Nicolas Dewaele
Single Sign On
et Web SSO
Page 12
I- Présentation générale
Termes associés au SSO
Authentification forte :
L'authentification forte est un processus combinant plusieurs
moyens d'authentification :
- Un mot de passe
- Un élément matériel : une carte à puce, une clé USB
- Une authentification par biométrie
Fédération d'identité :
La fédération d'identité permet de gérer l'identification des
utilisateurs au sein d'une société possédant plusieurs
sites géographiques. Les serveurs d'identification sont
répartis, l'utilisateur peut se connecter de n'importe où et
pourquoi pas profiter d'un SSO (mais pas obligatoirement).
Nicolas Dewaele
Single Sign On
et Web SSO
Page 13
I- Présentation générale
Fédération Identités : Apports attendus
Offrir des services personnalisés basés sur l’idendité numérique
…garantissant le respect de la vie privée des utilisateurs…
…cohérence et simplicité du parcours
utilisateur…
…interoperabilité des différents modèles
de gestion des identités numérique…
…usages sécurisés de l’identité
numérique…
… viabilité économique du modèle pour tous
les acteurs de la chaîne de valeur
Single Sign On
et Web SSO
Page 14
I- Présentation générale
Fédération d’identités: schéma technique
idp régional
profil citoyen
idp
profil régalien
ip-sts
infocard
services
territoriaux
services
gouvernementaux
idp
ip-sts
infocard
profil télécom
services bancaires
profil bancaire
Nicolas Dewaele
services
télécom
Single Sign On
et Web SSO
Page 15
II- Exemples d'architectures SSO
II- Exemples d'architectures
de Single Sign On
et étude du marché
Nicolas Dewaele
Single Sign On
et Web SSO
Page 16
II- Exemples d'architectures SSO
SSO Lourd et Web SSO :
Méthode de l'agent
Nicolas Dewaele
Single Sign On
et Web SSO
Page 17
II- Exemples d'architectures SSO
SSO Lourd et Web SSO :
Méthode de l'agent
Nicolas Dewaele
Single Sign On
et Web SSO
Page 18
II- Exemples d'architectures SSO
SSO Lourd :
Authentification forte
Nicolas Dewaele
Single Sign On
et Web SSO
Page 19
II- Exemples d'architectures SSO
Web SSO :
Méthode du reverse proxy
Nicolas Dewaele
Single Sign On
et Web SSO
Page 20
II- Exemples d'architectures SSO
Web SSO :
Méthode de la délégation
Nicolas Dewaele
Single Sign On
et Web SSO
Page 21
III- Implémentation en entreprise
Étude de marché :
D'une manière générale, les principaux SSO lourds sont
des solutions d'entreprises et les Web SSO sont plutôt
des projets open source.
SSO lourd : 4 grandes solutions :
- Evidian : Enterprise SSO
- Actividentity : SecureLogin
- Avencis : SSOX
- CA : SSO
Principales solutions de Web SSO :
- Central Authentication Service (CAS)
- LemonLDAP-NG
- Vulture-NG
- Shibboleth
Nicolas Dewaele
Single Sign On
et Web SSO
Page 22
II- Exemples d'architectures SSO
Evidian
Nicolas Dewaele
Single Sign On
et Web SSO
Page 23
II- Exemples d'architectures SSO
Computer Associates (CA)
Nicolas Dewaele
Single Sign On
et Web SSO
Page 24
II- Exemples d'architectures SSO
Actividentity
Nicolas Dewaele
Single Sign On
et Web SSO
Page 25
II- Exemples d'architectures SSO
Avencis
Nicolas Dewaele
Single Sign On
et Web SSO
Page 26
II- Exemples d'architectures SSO
Web SSO
Les principaux Web SSO sont plutôt des projets open source.
CAS :
Système de Web SSO réparti, avec un serveur SSO, un
serveur d'authentification et éventuellement un proxy.
Vulture-NG :
Reverse proxy qui permet de faire du filtrage, des redirections
d'URL et du SSO.
LemonLDAP-NG :
Système de Web SSO réparti, avec un serveur SSO, un
serveur d'authentification et éventuellement un proxy.
Nicolas Dewaele
Single Sign On
et Web SSO
Page 27
II- Exemples d'architectures SSO
SSO pour les particuliers
Solutions de Web SSO pour les
particuliers :
- Passport et LiveID de Microsoft
- OpenID
- Personal Identity Portal de Verisign
Nicolas Dewaele
Single Sign On
et Web SSO
Page 28
III- Implémentation en entreprise
III- Implémentation d'un projet
de SSO en entreprise
Nicolas Dewaele
Single Sign On
et Web SSO
Page 29
III- Implémentation en entreprise
Méthodologie :
1) Définition du besoin
2) Analyse de l'existant
3) Architecture logique
4) Mise en œuvre
Nicolas Dewaele
Single Sign On
et Web SSO
Page 30
III- Implémentation en entreprise
Définition du besoin :
Réduire les coûts de help desk
Accroître la productivité des
utilisateurs :
- Éviter les pertes de temps, oublis mots de
passe
Améliorer la sécurité :
-Renforcer le contrôle d’accès aux applications
critiques
Se conformer aux lois et règlement
de l’Entreprise
Renforcer la simplicité des
architectures
Nicolas Dewaele
Single Sign On
et Web SSO
Page 31
III- Implémentation en entreprise
Exemple de calcul de R.O.I.
Nicolas Dewaele
Single Sign On
et Web SSO
Page 32
III- Implémentation en entreprise
Analyse de l'existant :
Utilisateurs :
- Nombre d'utilisateurs
- Nombre d'applications protégées
- Temps moyen pour taper un mot de passe
- Temps moyen de réinitialisation d'un mot de passe
Parc informatique :
- Recensement des serveurs
- Recensement des applications
- Sources de données (bases SQL, annuaires LDAP, …)
- Types d'authentifications
→ Choix d'une solution
Nicolas Dewaele
Single Sign On
et Web SSO
Page 33
III- Implémentation en entreprise
Architecture logique :
Choix de l'architecture :
- Choix des applications
- Choix des matériels et des serveurs
- Choix des sources de données
- Réplication des données
- Politique de gestion des mots de passe
- Exploitation
→ Processus de déploiement
Nicolas Dewaele
Single Sign On
et Web SSO
Page 34
III- Implémentation en entreprise
Mise en œuvre :
Installation et configuration :
- Installations matérielle
- Installations logicielle
- Configurations
- Développements
- Intégration
Support :
- Formation
- Dépannage, aide aux utilisateurs
- Documentations
Nicolas Dewaele
Single Sign On
et Web SSO
Page 35
IV- Présentation de solutions techniques
IV- Présentation de
solutions techniques
Nicolas Dewaele
Single Sign On
et Web SSO
Page 36
IV- Présentation de solutions techniques
Serveur d'authentification
avec CAS
Présentation de CAS en pratique
Nicolas Dewaele
Single Sign On
et Web SSO
Page 37
IV- Présentation de solutions techniques
CAS : Principe du ticket
- Ticket Granting Cookie :
Quand le client s'authentifie sur le serveur, il reçoit un
ticket sous forme de Cookie dans son navigateur. Ce cookie
ne peut être lu ou écrit que par le serveur CAS.
Si le navigateur refuse les cookies, le client sera redirigé
vers le serveur CAS à chaque fois qu'il accédera à un service.
- Service Ticket :
Ticket présent sous forme d'URL (méthode GET) qui
permet au service d'échanger des informations avec le
serveur CAS.
Il ne sert qu'une seule fois et pour chaque application et
chaque utilisateur.
Nicolas Dewaele
Single Sign On
et Web SSO
Page 38
IV- Présentation de solutions techniques
CAS : Le standard SAML
Security assertion markup language :
Langage basé sur XML.
SAML est un format de données qui définit comment les
applications peuvent s'échanger des informations
d'authentification.
Il permet à des serveurs de SSO de s'échanger des
informations en respectant un certain format.
CAS utilise SAML, il est donc potentiellement compatible
avec d'autres systèmes SSO utilisant le même protocole.
Microsoft, Novell, Verisign et IBM utilise un protocole
concurrent : WS-Federation
Nicolas Dewaele
Single Sign On
et Web SSO
Page 39
IV- Présentation de solutions techniques
Clients CAS
Pour « cassifier » des applications, c'est à dire prévenir les
applications de passer d'abord par le serveur CAS et
demander le ticket, plusieurs librairies sont disponibles :
Clients officiels :
- Cas Client for Java
- phpCAS
- mod_auth_cas pour Apache
- Acegi (maintenant nommé Spring Security)
- Une liste et des méthodes de « cassification »
sont disponibles sur le site :
http://www.ja-sig.org/wiki/display/CASC/
Nicolas Dewaele
Single Sign On
et Web SSO
Page 40
IV- Présentation de solutions techniques
Reverse Proxy
avec Vulture-NG
Présentation sur PC du
reverse proxy Vulture-ng
Nicolas Dewaele
Single Sign On
et Web SSO
Page 41
IV- Présentation de solutions techniques
SSO Watch - Evidian
Démonstration en vidéo d'écran sur leur site
Nicolas Dewaele
Single Sign On
et Web SSO
Page 42
Annexes
Annexes
Nicolas Dewaele
Single Sign On
et Web SSO
Page 43
Bibliographie :
- Aucun livre dédié spécifiquement au SSO
- Linux Magazine – Fév. 2009 : SSO avec CAS
- Linux Magazine – Jan. 2010 : SSO avec CAS et radius
Nicolas Dewaele
Single Sign On
et Web SSO
Page 44
Liens Internet :
- Comité réseau des universités (CRU) :
www.cru.fr/documentation/federation
- Vulture SSO :
http://vulture.open-source.fr
- CAS :
http://www.jasig.org/cas
- Novell Secure Login :
www.novell.com/products/securelogin
- Evidian IAM :
http://www.evidian.com/fr/iam/sso-entreprise/index.htm
Nicolas Dewaele
Single Sign On
et Web SSO
Page 45