SlideShare ist ein Scribd-Unternehmen logo

Drupal sso

Bruno Bonfils
Bruno Bonfils
Technologie
1 von 41
Downloaden Sie, um offline zu lesen
vendredi 13 septembre 13
l’agilité du SI OpenCSI Le SSO, la fédération et Drupal Bruno Bonfils <bbonfils@opencsi.com> 2 vendredi 13 septembre 13
% whoami ✦ sysadmin devenu consultant sécurité spécialisé en gestion d’identité (SSO, IAM, PKI, etc.) ✦ Simple utilisateur de Drupal ✦ Twitter : bbonfils ✦ IRC : asyd@irc.freenode.net 3 vendredi 13 septembre 13
La présentation ✦ Cas d’utilisation ✦ Description des problématiques ✦ Description des réponses techniques ✦ Best pratices 4 vendredi 13 septembre 13
Définitions ✦ SSO : authentification unique ✦ Fédération : authentification unique déléguée à une entité tierce ✦ Référentiel d’identité : « base de données » maître contenant la liste des utilisateurs, mots de passes, attributs (dont rôles) ✦ Rôle : Fonction d’une personne ✦ Droit : Permission (donné ou refusée) d’effectuer une action sur un élément 5 vendredi 13 septembre 13
Définitions ✦ Fournisseur d’identité (IdP) : en charge d’authentifier un utilisateur ✦ Fournisseur de services (SP) : site utilisateur, par exemple un Drupal 6 vendredi 13 septembre 13
Cas d’utilisation ✦ Une société (ACME) qui dispose de : ✦ Un Drupal comme outil interne ✦ Un Drupal comme site vitrine ✦ Une application tierce comme GED 7 vendredi 13 septembre 13
Cas d’utilisation : les acteurs ✦ Technicien : consulte et publie des articles sur le drupal interne, la GED. Peut consulter le site vitrine (comme n’importe quel Internaute) ✦ Marketing : en charge de publier des articles sur le site vitrine ✦ Internaute : consulte et commente les articles du site vitrine 8 vendredi 13 septembre 13
Pour mieux comprendre 9 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Consulte, commente Internaute Technicien Consulte, commente Consulte, publie commente Consulte, publie Marketing Consulte, publie commente vendredi 13 septembre 13
Mode non SSO ✦ Chaque site dispose de sa base de comptes (login, mot de passes, rôles) ✦ Problèmes utilisateurs ✦ Double (voire triple) saisie pour un employé ✦ Création d’un compte pour qu’un Internaute puisse commenter 10 vendredi 13 septembre 13
Un référentiel par site 11 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Internaute Technicien MarketingAdministrateur gère gère gère vendredi 13 septembre 13
Mode non SSO ✦ Problèmes d’administrations ✦ Multiples créations de comptes, saisies d’attributs, ✦ Rigueur requise (ex : bbonfils vs bonfilsb), notamment entre les différents administrateurs 12 vendredi 13 septembre 13
Mode non SSO ✦ Il est toujours facile de créer un utilisateur ✦ Il est beaucoup plus difficile de supprimer un utilisateur, a fortiori dans un laps de temps pertinent 13 ! vendredi 13 septembre 13
Simplifions... ✦ Le DSI d’ACME veut simplifier l’authentification des employés dans un premier temps, puis des Internautes dans un second temps 14 vendredi 13 septembre 13
Utilisation d’un référentiel unique ✦ Simplifie l’administration ✦ L’utilisateur à le même mot de passe et attributs sur tous les sites ✦ Solutions possibles : ✦ Base de données SQL ✦ Serveur LDAP ✦ Active Directory 15 vendredi 13 septembre 13
Un référentiel unique 16 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Internaute Technicien MarketingAdministrateur vendredi 13 septembre 13
Quid des comptes internautes ? ✦ On peut très bien mixer une authentification avec référentiel et une authentification locale 17 vendredi 13 septembre 13
Mix de référentiels 18 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Internaute Technicien MarketingAdministrateur Comptes internautes Comptes employés vendredi 13 septembre 13
Drupal et LDAP ✦ Le module ldap de Drupal est très complet ✦ Authentification ✦ Autorisation ✦ Provisionning ✦ Documentation ! 19 vendredi 13 septembre 13
Et le SSO ? ✦ Nous avons maintenant un référentiel unique, propre, et facile à maintenir ✦ Simplifions la vie des employés en rajoutant l’authentification unique 20 vendredi 13 septembre 13
Comprendre le SSO ✦ Un utilisateur s’authentifie sur un seul site (le fournisseur d’identité) ✦ Il n’a pas besoin de s’authentifier sur tous les autres sites qui utilisent ce fournisseur d’identité 21 vendredi 13 septembre 13
SSO : La technique ✦ On distingue deux grands familles de fonctionnement ✦ Par cookie ✦ Par ticket 22 vendredi 13 septembre 13
Le SSO par cookie ✦ L’IdP positionne un cookie (généralement sur .domaine.com) ✦ Les SP lisent ce cookie, le vérifient auprès de l’IdP et récupérent les attributs de l’utilisateur 23 vendredi 13 septembre 13
SSO par cookie 24 Service IdP accède à redirige accède à authentification redirige (cookie) accède à (cookie) information de session vendredi 13 septembre 13
SSO par cookie 25 Service 2 IdP accède à (cookie) information de session Exemple : • liste des groupes • attributs : • email, prénom, nom vendredi 13 septembre 13
Le SSO par ticket ✦ L’utilisateur s’authentifie sur l’IdP ✦ Chaque service demande un ticket à l’IdP 26 vendredi 13 septembre 13
Le SSO par ticket 27 Service IdP accède à redirige accède à authentification redirige (cookie + jeton) accède à (jeton) vérifie le jeton vendredi 13 septembre 13
Le SSO par ticket 28 Service 2 IdP accède à redirige accède à (cookie) redirige (jeton) accède à (jeton) vérifie le jeton vendredi 13 septembre 13
SSO SSO employés 29 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Internaute Technicien MarketingAdministrateur Comptes internautes Comptes employés vendredi 13 septembre 13
Solutions SSO libres ✦ Par cookie ✦ LemonLDAP::NG ✦ OpenAM ✦ Par ticket ✦ CAS ✦ SAML 30 vendredi 13 septembre 13
Et maintenant ? ✦ Simplifions la vie des internautes en ajoutant la possibilité d’utiliser un compte déjà existant auprès de fournisseurs divers 31 vendredi 13 septembre 13
Les solutions techniques ✦ OpenID (en perte de vitesse) ✦ OAuth2 ✦ Facebook, Google, etc.. 32 vendredi 13 septembre 13
SSO Fédération 33 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Internaute Technicien MarketingAdministrateur Comptes internautes Comptes employés Google Facebook oauth vendredi 13 septembre 13
SSO vs Fédération ? ✦ Le terme fédération sous entend que deux entités (sociétés) sont impliquées ✦ Le fournisseur de service : vous ✦ Le fournisseur d’identité : Google, etc. ✦ Le terme SSO est utilisé dans un cadre mono entité 34 vendredi 13 septembre 13
La gestion des rôles ✦ Un fournisseur d’identité ne doit pas transmettre des droits, mais des rôles fonctionels ✦ Ces rôles doivent être mappés localement à des groupes, qui eux définissent des droits 35 vendredi 13 septembre 13
Rappel 36 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Consulte, commente Internaute Technicien Consulte, commente Consulte, publie commente Consulte, publie Marketing Consulte, publie commente vendredi 13 septembre 13
Matrice : Intranet 37 Role Groupe Droits developper developper • Création du contenu xxx • Consultation marketing anonymous Consultation vendredi 13 septembre 13
Fédération : SAML ✦ Il existe un autre protocole (standard) de fédération : SAML ✦ Très utile (et utilisé) dans le cas d’applications SaaS ✦ Drupal se repose alors sur l’excellente bibliothèque simplesamlphp 38 vendredi 13 septembre 13
Démo ✦ LDAP ✦ CAS ✦ SimpleSAML 39 vendredi 13 septembre 13
Conclusion ✦ Drupal est probablement le CMS le plus complet en terme de modules d’authentifications / autorisations 40 vendredi 13 septembre 13
l’agilité du SI OpenCSI Questions ? 41 vendredi 13 septembre 13

Empfohlen

Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Clément OUDOT
 
Sso fédération
Sso fédérationSso fédération
Sso fédérationPascal Flamand
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesCyber Security Alliance
 
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...Cyber Security Alliance
 
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesCAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesClément OUDOT
 
LTO Auth
LTO AuthLTO Auth
LTO AuthODC Orange Developer Center
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 

Empfohlen

Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...
Matinée Pour Comprendre LinID - Mise en place de la fédération des identités...Clément OUDOT
 
Sso fédération
Sso fédérationSso fédération
Sso fédérationPascal Flamand
 
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemples
ASFWS 2011 : CAS, OpenID, SAML concepts, différences et exemplesCyber Security Alliance
 
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...Cyber Security Alliance
 
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesCAS, OpenID, Shibboleth, SAML : concepts, différences et exemples
CAS, OpenID, Shibboleth, SAML : concepts, différences et exemplesClément OUDOT
 
LTO Auth
LTO AuthLTO Auth
LTO AuthODC Orange Developer Center
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...Cyber Security Alliance
 
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...
Vous avez dit protocoles Web d'authentification et d'autorisation ! De quoi p...Philippe Beraud
 
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Microsoft
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreClément OUDOT
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesClément OUDOT
 
Delegation d'authentification
Delegation d'authentificationDelegation d'authentification
Delegation d'authentificationSébastien Brault
 
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGSAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGClément OUDOT
 
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Damien Boissin
 
Oauth et open id connect (oidc)
Oauth et open id connect (oidc)Oauth et open id connect (oidc)
Oauth et open id connect (oidc)Pascal Flamand
 
[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnectClément OUDOT
 
Présentation Oauth OpenID
Présentation Oauth OpenIDPrésentation Oauth OpenID
Présentation Oauth OpenIDPascal Flamand
 
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGS2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGClément OUDOT
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
 
Gérer facilement les identités dans le cloud
Gérer facilement les identités dans le cloudGérer facilement les identités dans le cloud
Gérer facilement les identités dans le cloudAymeric Weinbach
 
Oauth2 & OpenID Connect
Oauth2 & OpenID ConnectOauth2 & OpenID Connect
Oauth2 & OpenID ConnectPascal Flamand
 
Presentation OpenID
Presentation OpenIDPresentation OpenID
Presentation OpenIDmauritiusnetwork
 
LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)Clément OUDOT
 
La Grande Famille OAuth 2.0
La Grande Famille OAuth 2.0La Grande Famille OAuth 2.0
La Grande Famille OAuth 2.0Guillaume Sauthier
 
14.4 tout ce que vous voulez savoir sur l'authentification par revendications
14.4 tout ce que vous voulez savoir sur l'authentification par revendications14.4 tout ce que vous voulez savoir sur l'authentification par revendications
14.4 tout ce que vous voulez savoir sur l'authentification par revendicationsNicolas Georgeault
 
La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?Benoit Mortier
 
Utilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open SourceUtilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open Sourceguest3be047
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium ParisAlexis Moussine-Pouchkine
 
Performance des tiers : combien coûte cet emplacement pub ?
Performance des tiers : combien coûte cet emplacement pub ?Performance des tiers : combien coûte cet emplacement pub ?
Performance des tiers : combien coûte cet emplacement pub ?Jean-Pierre Vincent
 
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018Prénom Nom de famille
 

Weitere ähnliche Inhalte

Was ist angesagt?

Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Microsoft
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreClément OUDOT
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesClément OUDOT
 
Delegation d'authentification
Delegation d'authentificationDelegation d'authentification
Delegation d'authentificationSébastien Brault
 
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGSAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGClément OUDOT
 
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Damien Boissin
 
Oauth et open id connect (oidc)
Oauth et open id connect (oidc)Oauth et open id connect (oidc)
Oauth et open id connect (oidc)Pascal Flamand
 
[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnectClément OUDOT
 
Présentation Oauth OpenID
Présentation Oauth OpenIDPrésentation Oauth OpenID
Présentation Oauth OpenIDPascal Flamand
 
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGS2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGClément OUDOT
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
 
Gérer facilement les identités dans le cloud
Gérer facilement les identités dans le cloudGérer facilement les identités dans le cloud
Gérer facilement les identités dans le cloudAymeric Weinbach
 
Oauth2 & OpenID Connect
Oauth2 & OpenID ConnectOauth2 & OpenID Connect
Oauth2 & OpenID ConnectPascal Flamand
 
LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)Clément OUDOT
 
14.4 tout ce que vous voulez savoir sur l'authentification par revendications
14.4 tout ce que vous voulez savoir sur l'authentification par revendications14.4 tout ce que vous voulez savoir sur l'authentification par revendications
14.4 tout ce que vous voulez savoir sur l'authentification par revendicationsNicolas Georgeault
 
La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?Benoit Mortier
 
Utilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open SourceUtilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open Sourceguest3be047
 

Was ist angesagt? (20)

Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
 
CAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemplesCAS, OpenID, SAML : concepts, différences et exemples
CAS, OpenID, SAML : concepts, différences et exemples
 
Delegation d'authentification
Delegation d'authentificationDelegation d'authentification
Delegation d'authentification
 
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NGSAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
SAML, Open ID et CAS dans un seul WebSSO : LemonLDAP::NG
 
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
 
Oauth et open id connect (oidc)
Oauth et open id connect (oidc)Oauth et open id connect (oidc)
Oauth et open id connect (oidc)
 
[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect[JDLL 2016] OpenID Connect et FranceConnect
[JDLL 2016] OpenID Connect et FranceConnect
 
Présentation Oauth OpenID
Présentation Oauth OpenIDPrésentation Oauth OpenID
Présentation Oauth OpenID
 
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NGS2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
S2LQ - Authentification unique sur le Web avec le logiciel libre LemonLDAP::NG
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId Connect
 
Gérer facilement les identités dans le cloud
Gérer facilement les identités dans le cloudGérer facilement les identités dans le cloud
Gérer facilement les identités dans le cloud
 
Oauth2 & OpenID Connect
Oauth2 & OpenID ConnectOauth2 & OpenID Connect
Oauth2 & OpenID Connect
 
Presentation OpenID
Presentation OpenIDPresentation OpenID
Presentation OpenID
 
LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)LemonLDAP::NG et le support SAML2 (RMLL 2010)
LemonLDAP::NG et le support SAML2 (RMLL 2010)
 
La Grande Famille OAuth 2.0
La Grande Famille OAuth 2.0La Grande Famille OAuth 2.0
La Grande Famille OAuth 2.0
 
14.4 tout ce que vous voulez savoir sur l'authentification par revendications
14.4 tout ce que vous voulez savoir sur l'authentification par revendications14.4 tout ce que vous voulez savoir sur l'authentification par revendications
14.4 tout ce que vous voulez savoir sur l'authentification par revendications
 
La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?La gestion des identités pour qui, pourquoi ?
La gestion des identités pour qui, pourquoi ?
 
Utilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open SourceUtilisation de services Web sécurisés en Java en environnement Open Source
Utilisation de services Web sécurisés en Java en environnement Open Source
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium Paris
 

Ähnlich wie Drupal sso

Performance des tiers : combien coûte cet emplacement pub ?
Performance des tiers : combien coûte cet emplacement pub ?Performance des tiers : combien coûte cet emplacement pub ?
Performance des tiers : combien coûte cet emplacement pub ?Jean-Pierre Vincent
 
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018Prénom Nom de famille
 
Cecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsCecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsBenjamin Delpy
 
Conférence Tracking analytics et protections des données: les équilibristes d...
Conférence Tracking analytics et protections des données: les équilibristes d...Conférence Tracking analytics et protections des données: les équilibristes d...
Conférence Tracking analytics et protections des données: les équilibristes d...ChristopheVidal15
 
Google Analytics & Performance Internet - Formation
Google Analytics & Performance Internet - FormationGoogle Analytics & Performance Internet - Formation
Google Analytics & Performance Internet - FormationEmmanuel Borne
 
La Matinale X-PRIME Groupe - Google Analytics
La Matinale X-PRIME Groupe - Google AnalyticsLa Matinale X-PRIME Groupe - Google Analytics
La Matinale X-PRIME Groupe - Google AnalyticsX-PRIME GROUPE
 
Seocamp Bayonne - JS et SEO
Seocamp Bayonne - JS et SEOSeocamp Bayonne - JS et SEO
Seocamp Bayonne - JS et SEOErlé Alberton
 
Meetup Club Power BI Strasbourg - introduction Power BI Report Builder
Meetup Club Power BI Strasbourg - introduction Power BI Report BuilderMeetup Club Power BI Strasbourg - introduction Power BI Report Builder
Meetup Club Power BI Strasbourg - introduction Power BI Report BuilderPhilippe Geiger
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...LINAGORA
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
 
CCC-CONNECTION - etablir une strategie ecommerce efficace: abandon de panier,...
CCC-CONNECTION - etablir une strategie ecommerce efficace: abandon de panier,...CCC-CONNECTION - etablir une strategie ecommerce efficace: abandon de panier,...
CCC-CONNECTION - etablir une strategie ecommerce efficace: abandon de panier,...Eric Culnaert
 
Les chantiers indispensables à ajouter à votre Roadmap 2018 - 22 février - Lille
Les chantiers indispensables à ajouter à votre Roadmap 2018 - 22 février - LilleLes chantiers indispensables à ajouter à votre Roadmap 2018 - 22 février - Lille
Les chantiers indispensables à ajouter à votre Roadmap 2018 - 22 février - LillePeak Ace
 
MWCP19 Cybersécurité et M365 en action
MWCP19 Cybersécurité et M365 en actionMWCP19 Cybersécurité et M365 en action
MWCP19 Cybersécurité et M365 en actionSébastien Paulet
 
Aide à la prise en main des deux versions de Google Analytics.pdf
Aide à la prise en main des deux versions de Google Analytics.pdfAide à la prise en main des deux versions de Google Analytics.pdf
Aide à la prise en main des deux versions de Google Analytics.pdfMurielDenis
 
Comment intégrer windows azure dans mon système d'information
Comment intégrer windows azure dans mon système d'informationComment intégrer windows azure dans mon système d'information
Comment intégrer windows azure dans mon système d'informationMicrosoft Technet France
 
Les architectures hybrides sont-elles la solution ?
Les architectures hybrides sont-elles la solution ?Les architectures hybrides sont-elles la solution ?
Les architectures hybrides sont-elles la solution ?Patrick Guimonet
 
Conduire un audit de referencement naturel (SEO)
Conduire un audit de referencement naturel (SEO)Conduire un audit de referencement naturel (SEO)
Conduire un audit de referencement naturel (SEO)Comsatis
 

Ähnlich wie Drupal sso (20)

Performance des tiers : combien coûte cet emplacement pub ?
Performance des tiers : combien coûte cet emplacement pub ?Performance des tiers : combien coûte cet emplacement pub ?
Performance des tiers : combien coûte cet emplacement pub ?
 
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018
Cmp, bandeau de cookie consent, cnil &amp; cie measure camp nantes 2018
 
Cecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de WindowsCecyf / Coriin - mimikatz et la mémoire de Windows
Cecyf / Coriin - mimikatz et la mémoire de Windows
 
Conférence Tracking analytics et protections des données: les équilibristes d...
Conférence Tracking analytics et protections des données: les équilibristes d...Conférence Tracking analytics et protections des données: les équilibristes d...
Conférence Tracking analytics et protections des données: les équilibristes d...
 
Le prix de la pub
Le prix de la pubLe prix de la pub
Le prix de la pub
 
Google Analytics & Performance Internet - Formation
Google Analytics & Performance Internet - FormationGoogle Analytics & Performance Internet - Formation
Google Analytics & Performance Internet - Formation
 
La Matinale X-PRIME Groupe - Google Analytics
La Matinale X-PRIME Groupe - Google AnalyticsLa Matinale X-PRIME Groupe - Google Analytics
La Matinale X-PRIME Groupe - Google Analytics
 
Seocamp Bayonne - JS et SEO
Seocamp Bayonne - JS et SEOSeocamp Bayonne - JS et SEO
Seocamp Bayonne - JS et SEO
 
Meetup Club Power BI Strasbourg - introduction Power BI Report Builder
Meetup Club Power BI Strasbourg - introduction Power BI Report BuilderMeetup Club Power BI Strasbourg - introduction Power BI Report Builder
Meetup Club Power BI Strasbourg - introduction Power BI Report Builder
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
 
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...
 
Piloter intune avec PowerShell
Piloter intune avec PowerShellPiloter intune avec PowerShell
Piloter intune avec PowerShell
 
CCC-CONNECTION - etablir une strategie ecommerce efficace: abandon de panier,...
CCC-CONNECTION - etablir une strategie ecommerce efficace: abandon de panier,...CCC-CONNECTION - etablir une strategie ecommerce efficace: abandon de panier,...
CCC-CONNECTION - etablir une strategie ecommerce efficace: abandon de panier,...
 
Les chantiers indispensables à ajouter à votre Roadmap 2018 - 22 février - Lille
Les chantiers indispensables à ajouter à votre Roadmap 2018 - 22 février - LilleLes chantiers indispensables à ajouter à votre Roadmap 2018 - 22 février - Lille
Les chantiers indispensables à ajouter à votre Roadmap 2018 - 22 février - Lille
 
MWCP19 Cybersécurité et M365 en action
MWCP19 Cybersécurité et M365 en actionMWCP19 Cybersécurité et M365 en action
MWCP19 Cybersécurité et M365 en action
 
Aide à la prise en main des deux versions de Google Analytics.pdf
Aide à la prise en main des deux versions de Google Analytics.pdfAide à la prise en main des deux versions de Google Analytics.pdf
Aide à la prise en main des deux versions de Google Analytics.pdf
 
Comment intégrer windows azure dans mon système d'information
Comment intégrer windows azure dans mon système d'informationComment intégrer windows azure dans mon système d'information
Comment intégrer windows azure dans mon système d'information
 
Les architectures hybrides sont-elles la solution ?
Les architectures hybrides sont-elles la solution ?Les architectures hybrides sont-elles la solution ?
Les architectures hybrides sont-elles la solution ?
 
Seo camp ..
Seo camp ..Seo camp ..
Seo camp ..
 
Conduire un audit de referencement naturel (SEO)
Conduire un audit de referencement naturel (SEO)Conduire un audit de referencement naturel (SEO)
Conduire un audit de referencement naturel (SEO)
 

Mehr von Bruno Bonfils

Vue d'ensemble du SSO
Vue d'ensemble du SSOVue d'ensemble du SSO
Vue d'ensemble du SSOBruno Bonfils
 
Présentation de l'association GUSES
Présentation de l'association GUSESPrésentation de l'association GUSES
Présentation de l'association GUSESBruno Bonfils
 
Introduction à OpenSolaris
Introduction à OpenSolarisIntroduction à OpenSolaris
Introduction à OpenSolarisBruno Bonfils
 
La signature numérique
La signature numériqueLa signature numérique
La signature numériqueBruno Bonfils
 
(Open)Solaris : Introduction aux zones et à ZFS
(Open)Solaris : Introduction aux zones et à ZFS(Open)Solaris : Introduction aux zones et à ZFS
(Open)Solaris : Introduction aux zones et à ZFSBruno Bonfils
 

Mehr von Bruno Bonfils (12)

Vue d'ensemble du SSO
Vue d'ensemble du SSOVue d'ensemble du SSO
Vue d'ensemble du SSO
 
Splunk
SplunkSplunk
Splunk
 
iTop
iTopiTop
iTop
 
RunDeck
RunDeckRunDeck
RunDeck
 
Présentation de l'association GUSES
Présentation de l'association GUSESPrésentation de l'association GUSES
Présentation de l'association GUSES
 
Métrologie des IOs
Métrologie des IOsMétrologie des IOs
Métrologie des IOs
 
Introduction à OpenSolaris
Introduction à OpenSolarisIntroduction à OpenSolaris
Introduction à OpenSolaris
 
Ldap
LdapLdap
Ldap
 
Zsh Rmll
Zsh RmllZsh Rmll
Zsh Rmll
 
Shell
ShellShell
Shell
 
La signature numérique
La signature numériqueLa signature numérique
La signature numérique
 
(Open)Solaris : Introduction aux zones et à ZFS
(Open)Solaris : Introduction aux zones et à ZFS(Open)Solaris : Introduction aux zones et à ZFS
(Open)Solaris : Introduction aux zones et à ZFS
 

Drupal sso

  • 2. l’agilité du SI OpenCSI Le SSO, la fédération et Drupal Bruno Bonfils <bbonfils@opencsi.com> 2 vendredi 13 septembre 13
  • 3. % whoami ✦ sysadmin devenu consultant sécurité spécialisé en gestion d’identité (SSO, IAM, PKI, etc.) ✦ Simple utilisateur de Drupal ✦ Twitter : bbonfils ✦ IRC : asyd@irc.freenode.net 3 vendredi 13 septembre 13
  • 4. La présentation ✦ Cas d’utilisation ✦ Description des problématiques ✦ Description des réponses techniques ✦ Best pratices 4 vendredi 13 septembre 13
  • 5. Définitions ✦ SSO : authentification unique ✦ Fédération : authentification unique déléguée à une entité tierce ✦ Référentiel d’identité : « base de données » maître contenant la liste des utilisateurs, mots de passes, attributs (dont rôles) ✦ Rôle : Fonction d’une personne ✦ Droit : Permission (donné ou refusée) d’effectuer une action sur un élément 5 vendredi 13 septembre 13
  • 6. Définitions ✦ Fournisseur d’identité (IdP) : en charge d’authentifier un utilisateur ✦ Fournisseur de services (SP) : site utilisateur, par exemple un Drupal 6 vendredi 13 septembre 13
  • 7. Cas d’utilisation ✦ Une société (ACME) qui dispose de : ✦ Un Drupal comme outil interne ✦ Un Drupal comme site vitrine ✦ Une application tierce comme GED 7 vendredi 13 septembre 13
  • 8. Cas d’utilisation : les acteurs ✦ Technicien : consulte et publie des articles sur le drupal interne, la GED. Peut consulter le site vitrine (comme n’importe quel Internaute) ✦ Marketing : en charge de publier des articles sur le site vitrine ✦ Internaute : consulte et commente les articles du site vitrine 8 vendredi 13 septembre 13
  • 9. Pour mieux comprendre 9 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Consulte, commente Internaute Technicien Consulte, commente Consulte, publie commente Consulte, publie Marketing Consulte, publie commente vendredi 13 septembre 13
  • 10. Mode non SSO ✦ Chaque site dispose de sa base de comptes (login, mot de passes, rôles) ✦ Problèmes utilisateurs ✦ Double (voire triple) saisie pour un employé ✦ Création d’un compte pour qu’un Internaute puisse commenter 10 vendredi 13 septembre 13
  • 11. Un référentiel par site 11 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Internaute Technicien MarketingAdministrateur gère gère gère vendredi 13 septembre 13
  • 12. Mode non SSO ✦ Problèmes d’administrations ✦ Multiples créations de comptes, saisies d’attributs, ✦ Rigueur requise (ex : bbonfils vs bonfilsb), notamment entre les différents administrateurs 12 vendredi 13 septembre 13
  • 13. Mode non SSO ✦ Il est toujours facile de créer un utilisateur ✦ Il est beaucoup plus difficile de supprimer un utilisateur, a fortiori dans un laps de temps pertinent 13 ! vendredi 13 septembre 13
  • 14. Simplifions... ✦ Le DSI d’ACME veut simplifier l’authentification des employés dans un premier temps, puis des Internautes dans un second temps 14 vendredi 13 septembre 13
  • 15. Utilisation d’un référentiel unique ✦ Simplifie l’administration ✦ L’utilisateur à le même mot de passe et attributs sur tous les sites ✦ Solutions possibles : ✦ Base de données SQL ✦ Serveur LDAP ✦ Active Directory 15 vendredi 13 septembre 13
  • 17. Quid des comptes internautes ? ✦ On peut très bien mixer une authentification avec référentiel et une authentification locale 17 vendredi 13 septembre 13
  • 18. Mix de référentiels 18 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Internaute Technicien MarketingAdministrateur Comptes internautes Comptes employés vendredi 13 septembre 13
  • 19. Drupal et LDAP ✦ Le module ldap de Drupal est très complet ✦ Authentification ✦ Autorisation ✦ Provisionning ✦ Documentation ! 19 vendredi 13 septembre 13
  • 20. Et le SSO ? ✦ Nous avons maintenant un référentiel unique, propre, et facile à maintenir ✦ Simplifions la vie des employés en rajoutant l’authentification unique 20 vendredi 13 septembre 13
  • 21. Comprendre le SSO ✦ Un utilisateur s’authentifie sur un seul site (le fournisseur d’identité) ✦ Il n’a pas besoin de s’authentifier sur tous les autres sites qui utilisent ce fournisseur d’identité 21 vendredi 13 septembre 13
  • 22. SSO : La technique ✦ On distingue deux grands familles de fonctionnement ✦ Par cookie ✦ Par ticket 22 vendredi 13 septembre 13
  • 23. Le SSO par cookie ✦ L’IdP positionne un cookie (généralement sur .domaine.com) ✦ Les SP lisent ce cookie, le vérifient auprès de l’IdP et récupérent les attributs de l’utilisateur 23 vendredi 13 septembre 13
  • 24. SSO par cookie 24 Service IdP accède à redirige accède à authentification redirige (cookie) accède à (cookie) information de session vendredi 13 septembre 13
  • 25. SSO par cookie 25 Service 2 IdP accède à (cookie) information de session Exemple : • liste des groupes • attributs : • email, prénom, nom vendredi 13 septembre 13
  • 26. Le SSO par ticket ✦ L’utilisateur s’authentifie sur l’IdP ✦ Chaque service demande un ticket à l’IdP 26 vendredi 13 septembre 13
  • 27. Le SSO par ticket 27 Service IdP accède à redirige accède à authentification redirige (cookie + jeton) accède à (jeton) vérifie le jeton vendredi 13 septembre 13
  • 28. Le SSO par ticket 28 Service 2 IdP accède à redirige accède à (cookie) redirige (jeton) accède à (jeton) vérifie le jeton vendredi 13 septembre 13
  • 30. Solutions SSO libres ✦ Par cookie ✦ LemonLDAP::NG ✦ OpenAM ✦ Par ticket ✦ CAS ✦ SAML 30 vendredi 13 septembre 13
  • 31. Et maintenant ? ✦ Simplifions la vie des internautes en ajoutant la possibilité d’utiliser un compte déjà existant auprès de fournisseurs divers 31 vendredi 13 septembre 13
  • 32. Les solutions techniques ✦ OpenID (en perte de vitesse) ✦ OAuth2 ✦ Facebook, Google, etc.. 32 vendredi 13 septembre 13
  • 34. SSO vs Fédération ? ✦ Le terme fédération sous entend que deux entités (sociétés) sont impliquées ✦ Le fournisseur de service : vous ✦ Le fournisseur d’identité : Google, etc. ✦ Le terme SSO est utilisé dans un cadre mono entité 34 vendredi 13 septembre 13
  • 35. La gestion des rôles ✦ Un fournisseur d’identité ne doit pas transmettre des droits, mais des rôles fonctionels ✦ Ces rôles doivent être mappés localement à des groupes, qui eux définissent des droits 35 vendredi 13 septembre 13
  • 36. Rappel 36 Intranet (Drupal) Extranet (Drupal) GED (Autre) Intranet Internet Consulte, commente Internaute Technicien Consulte, commente Consulte, publie commente Consulte, publie Marketing Consulte, publie commente vendredi 13 septembre 13
  • 37. Matrice : Intranet 37 Role Groupe Droits developper developper • Création du contenu xxx • Consultation marketing anonymous Consultation vendredi 13 septembre 13
  • 38. Fédération : SAML ✦ Il existe un autre protocole (standard) de fédération : SAML ✦ Très utile (et utilisé) dans le cas d’applications SaaS ✦ Drupal se repose alors sur l’excellente bibliothèque simplesamlphp 38 vendredi 13 septembre 13
  • 39. Démo ✦ LDAP ✦ CAS ✦ SimpleSAML 39 vendredi 13 septembre 13
  • 40. Conclusion ✦ Drupal est probablement le CMS le plus complet en terme de modules d’authentifications / autorisations 40 vendredi 13 septembre 13
  • 41. l’agilité du SI OpenCSI Questions ? 41 vendredi 13 septembre 13