Conférence sur le concept de la gestion des identités, pourquoi c'est important, quels sont les technologies disponible et comment réaliser cela avec des logiciels libres
1. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
La gestion des identités, pour qui, pourquoi ? Enjeux et bonne pratiques.
La gestion des identités, pour qui, pourquoi ?
Enjeux et bonne pratiques.
2. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
LL NG
Benoit Mortier
LDAP Synchronization Connector
S
●
5 salaries
●
Spécialiste gestion des identités
●
Éditeur de FusionDirectory
●
contact@fusiondirectory.org
3. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Gérer les identités numériques
●
Provisioning
●
Cycle de vie du compte
●
Logiciels libres de la gestion d’identités
●
Federation et SSO
●
Le Campus Condorcet
La gestion des identités, pour qui, pourquoi ? Enjeux et bonne pratiques.
4. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
L'identification
●
L’authentification
●
L’autorisation
●
La gestion de l’utilisateur
●
Annuaire central d’utilisateurs
5. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
De nombreuses applications nécessitent une
authentification.
●
De nombreuses identifications différentes à retenir
(identifiant, mot de passe).
●
Redondance ou conflit des informations des
différentes bases utilisateur.
●
Redondance de gestion sur les différents
environnements
6. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Centralisation des informations utilisateurs
●
Gestion centralisée de l'authentification
●
Sécurisation du système d'information
●
Centralisation d'autres données du système
d'information
●
Organisation de l'approvisionnement des données
7. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Le provisioning consiste en l’alimentation unique ou
régulière en données servant a notre gestion des
identités.
●
Ces données peuvent venir d’endroits tels que base de
données, fichier csv, accès a des webservices.
●
Il est nécessaire de prévoir les flux, les méthodes de
synchronisation de façon la plus transparente possible.
8. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
9. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
identités
10. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
11. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Logiciel libre (GPLv2+)
●
Gestion utilisateurs, groupes, rôles, courriel ...
●
Gestion services : ex : dhcp, dns, cyrus, postfix
●
Déploiement des système d’exploitation et logiciels
●
Contrôle d’accès fin pour délégation de tâches
●
Modèles personnalisables pour l’approvisionnement
des données
●
Support CAS, LemonLDAP::NG
●
Webservice
●
Site : https://fusiondirectory.org
12. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Création d'utilisateurs, de groupes et de rôles
●
Gestion de mot de passe standard ou basé sur ppolicy
●
Modèles utilisateur, création des utilisateurs pré configurés.
●
Importation et création en bloc avec prise en charge de modèles.
●
Snapshots, restaure les entrées après modification
●
Copier coller pour la création facile de nouveaux utilisateurs, groupes
13. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Logiciel libre (GPLv2+) / OW2 consortium
●
Authentification unique (SSO), contrôle d'accès
●
Fournisseur de Service / Fournisseur d'Identité
●
CAS, OpenID Connect et SAML 2.0
●
Perl/Apache/Nginx/FastCGI
●
Réinitialisation de mot de passe et création de
compte
●
Authentification multi-facteurs
●
Site : https://www.lemonldap-ng.org
14. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
15. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
16. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
17. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Le service d'authentification central (CAS) est un
protocole de single sign on pour le Web.
●
Son objectif est de permettre à un utilisateur
d'accéder à plusieurs applications tout en fournissant
leurs informations d'identification une seule fois.
●
Il permet également aux applications Web
d'authentifier les utilisateurs sans accéder aux
informations d'identification de sécurité de l'utilisateur,
telles que les mots de passe.
18. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Ticket-Granting Cookie (TGC)
C'est un cookie de session qui est transmis par le serveur CAS au
navigateur du client lors de la phase de login. Ce cookie ne peut être
lu / écrit que par le serveur CAS, sur canal sécurisé (HTTPS).
●
Service Ticket (ST)
Ce ticket va servir à authentifier une personne pour une application
web donnée. Il est envoyé par le serveur CAS après que l'utilisateur
s'est authentifié, et est transporté dans l'URL.
●
Ce ticket ne peut être utilisé qu'une seule fois. Il y a ensuite dialogue
direct entre l'application web et le CAS via un GET HTTP, avec le ST
en paramètre. En réponse, le serveur CAS retourne l'identifiant de la
personne, et donc l'authentifie. Il invalide également le ticket
(libération des ressources associées).
19. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
20. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
SAML 2.0 est un protocole XML qui utilise des jetons
de sécurité contenant des assertions pour transmettre
des informations sur un principal (généralement un
utilisateur final) entre une autorité SAML, appelée
fournisseur d'identité, et un consommateur SAML,
appelé fournisseur de services.
●
SAML 2.0 permet la connexion unique (SSO) sur
plusieurs domaines basée sur le Web, ce qui permet
de réduire la charge administrative liée à la
distribution de plusieurs jetons d'authentification à
l'utilisateur.
21. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Le fournisseur de service (SP) et le fournisseur
d'identité (IDP) s'échangent leur métadonnées pour
adhérer au même cercle de confiance
●
Les messages SAML sont utilisés dans les requêtes
et les réponses, pour l'authentification (SSO) et la
déconnexion (SLO)
●
Les messages peuvent être signés et chiffrés
22. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
23. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Basé sur OAuth2, REST, JSON, JWT, JOSE
●
Adapté aux navigateurs Web et aux applications
mobiles natives
●
Publication des informations de configuration au
format JSON
●
Consentement de l'utilisateur requis sur le partage
d'attributs
24. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
25. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
26. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
●
Basé sur OAuth2, REST, JSON, JWT, JOSE
●
Adapté aux navigateurs Web et aux applications
mobiles natives
●
Publication des informations de configuration au
format JSON
●
Consentement de l'utilisateur requis sur le partage
d'attributs
27. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
28. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
29. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
30. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
31. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
32. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
33. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
34. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
35. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
36. This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 Unported License.
https://fusiondirectory.org
https://lemonldap-ng.org/welcome/
https://www.campus-condorcet.fr/
Les images pour les protocoles sso sont de Clement Oudot et
sont sous licence Creative Common CC-BY-SA