4. Définition du WebSSO
● SSO signifie « Single Sign On », qui peut se traduire en français par
« authentification unique »
● Le WebSSO se consacre à l'authentification unique pour les applications
Web, c'est-à-dire des applications client-serveur dont le client est un
navigateur Web (IE, Firefox, etc.)
● Le principe de base est d'intercepter les requêtes entre le client et le
serveur, et indiquer au serveur que le client est bien authentifié
4
8. CAS
● Central Authentication Service
● Documentation du protocole pour 1.0 et 2.0
● Utilisation de tickets de service dans l'URL, avec validation par un lien
dorsal
● Possibilité de tickets proxy
● Pas de partage d'attributs
8
10. CAS
● Requête ticket de service CAS :
https://auth.example.com/cas/login?
service=http://auth.example.com/cas.pl
● Réponse ticket de service CAS :
http://auth.example.com/cas.pl?ticket=ST-
6096f5d3ddb33df6fd79529e2d626a6d
● Requête validation ticket CAS :
https://auth.example.com/cas/serviceValidate?
service=http://auth.example.com/cas.pl&ticket=ST-
6096f5d3ddb33df6fd79529e2d626a6d
● Réponse validation ticket CAS :
<cas:serviceResponse xmlns:cas='http://www.yale.edu/tp/cas'>
<cas:authenticationSuccess>
<cas:user>coudot</cas:user> 10
</cas:authenticationSuccess>
11. OpenID
● L'identifiant de l'utilisateur contient l'adresse du service
d'authentification
● Aussi basé sur les redirections HTTP
● Permet le partage d'attributs (mais plusieurs normes possibles...)
● Pas de notion de cercle de confiance
11
15. SAML
● Security Assertion Markup Language
● Sécurité
● XML, XML Security
● Sécurité
● Cercle de confiance : enregistrement préalable des fournisseurs de
services et des fournisseurs d'identités
● Sécurité
● Plusieurs méthodes : GET / POST / Artefact GET / Artefact POST
● Sécurité
15
20. Différents protocoles pour différents usages
● CAS : authentification seulement, applications déjà « CASsifiées »
● OpenID : applications grand public
● SAML : partage d'identité entre organismes
20
21. Dernier choix : tout choisir !
● LinID Access Manager (LemonLDAP::NG) est client/serveur :
● CAS
● OpenID
● SAML 2.0
● Il permet de créer des passerelles entre ces protocoles
● Plus d'informations :
● http://linid.org
● http://lemonldap-ng.org
● Sur notre stand !
21
23. Merci de votre attention
Contact :
LINAGORA – Siège social
80, rue Roque de Fillol
92800 PUTEAUX
FRANCE
Tél. : 0 810 251 251 (tarif local)
Fax : +33 (0)1 46 96 63 64
Mail : info@linagora.com
Web : www.linagora.com
Photos de la présentation tirées de Flickr (Creative Commons)
WWW.LINAGORA.COM