Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'identité et de sécurité de LINAGORA !
1. SEMINAIRE
Les solutions Open Source
d'Identité et de Sécurité de
Linagora
Sébastien BAHLOUL
sbahloul@linagora.com
Daniel FAGES
dfages@linagora.com
Clément OUDOT
coudot@linagora.com
2. Agenda
● Présentation LINAGORA
● LinID:
● Gestion avancée des données de votre annuaire d'entreprise
(LinID Directory Manager)
● Quand SAML révolutionne le SSO (LinID Federation Manager)
● LinPKI:
● Simplifiez-vous la gestion des certificats avec LinRA
● Découvrez LinSecure, la plateforme Open Source de coffre fort
pour jeu en ligne
3. LINAGORA
Mission : Logiciels et services Open Schéma Directeur
source pour réussir les grands projets Open Source
du libre
Fondée : Mai 2000
Support
Capital: Capital privé OSSA
Intégration, Expertise
Hosting
Migration, Formation...
(principalement détenu par les fondateurs)
Nombre d'ingénieurs : 150
Nos principaux clients
CAGR : +73%
14 M€
11 M€
10 M€
8 M€
4 M€
2006 2007 2008 2009 2010
Évolution CA
5. LinID Directory Manager
Sébastien BAHLOUL
sbahloul@linagora.com
Séminaire septembre 2010
« Les solutions Open Source d'Identité et de
Sécurité de LINAGORA ! »
6.
7. LinID Directory Manager
Principe : progiciel de gestion d'annuaire
Modules :
● Affichage, modification, création, suppression
● Association, gestion de groupe
● Délégation, workflow
● Recherches avancées et organigrammes
Adaptabilité :
● Schéma de données
● Contrôle d'accès
8. Fonctionnalités avancées
● Support de l'overlay ppolicy d'OpenLDAP concernant concernant la
politique de gestion des mots de passe, activation / désactivation de
compte, forçage du changement de mot de passe à la connection, ...
● Support de l'overlay memberof d'OpenLDAP
● Intégration avec un WebSSO
● Intégration de Google Maps
12. Vision d'ensemble
Interface de
gestion de
contenu
Population
d'administrateurs
Application A
Annuaire LDAP
central
Source de
Application B
données
Active Directory
Légende :
Traitement automatisé de
synchronisation de données
Traitement manuel de
manipulation de données
13. Informations complémentaires
● Fonctionne sur un annuaire LDAPv3 (OpenLDAP, Sun / RedHat
Directory Server, Apache Directory, …)
● Compatible avec les systèmes de SSO courants (LemonLDAP::NG,
CAS, …)
● N'importe quel serveur d'application J2EE (Tomcat, Jetty, JBoss, …)
● Licence : Affero GPL v3
15. Quand SAML2 révolutionne
le SSO
Clément OUDOT
coudot@linagora.com
Séminaire septembre 2010
« Les solutions Open Source d'Identité et de
Sécurité de LINAGORA ! »
16. SOMMAIRE
● Présentation du WebSSO
● Le protocole SAML2
● Fonctionnement de LemonLDAP::NG
● Support du SAML2 et autres nouveautés
17. Le WebSSO
● SSO signifie « Single Sign On », qui peut se traduire en français par
« authentification unique »
● Le WebSSO se consacre à l'authentification unique pour les
applications Web, c'est-à-dire des applications client-serveur dont le
client est un navigateur Web (IE, Firefox, etc.)
● Le principe de base est d'intercepter les requêtes entre le client et
le serveur, et indiquer au serveur que le client est bien authentifié
● Techniquement, cela repose essentiellement sur la gestion d'une
session SSO stockée au niveau du serveur WebSSO et liée à un cookie
dans le navigateur de l'utilisateur
● Deux architectures complémentaires existent :
● WebSSO par délégation
● WebSSO par mandataire inverse
20. Autres fonctionnalités
● Le rôle standard du WebSSO est de propager l'authentification sur
des applications Web
● En supplément, ces fonctionnalités sont souvent présentes dans les
produits de WebSSO :
● Contrôle d'accès aux applications (qui a accès à quoi)
● Transfert d'informations complémentaires à l'identifiant de
l'utilisateur (nom, mails, etc.)
● Gestion du mot de passe (interface de changement de mot de
passe, réinitialisation, etc.)
21. Le protocole SAML
● SAML est un protocole destiné à la fédération d'identités
● La fédération d'identités a pour objectif de lier des fournisseurs de
services (SP) et des fournisseurs d'identités au sein d'un ou plusieurs
cercle de confiance (CoT)
● SAML c'est du SSO, mais aussi :
● Du SLO (Single Logout)
● Du partage d'attributs
● De l'autorisation (point de décision)
● ...
● Les standards d'origine SAML1, Liberty Alliance et Shibboleth
convergent aujourd'hui vers SAML2
23. Concepts SAML
● Communication indirecte entre le SP et l'IDP via le navigateur de
l'utilisateur avec différentes méthodes possibles :
● HTTP-Redirect
● HTTP-POST
● HTTP-Artifact (GET et POST)
● Communication directe entre le SP et l'IDP par SOAP
● Gestion de la sécurité des messages par XMLsec
● Possibilité de recherche des IDP par cookie de domaine commun
(Common Domain Cookie)
● Gestion d'identifiants persistants, temporaires, ou lié à une donnée
(mail par exemple)
● Gestion des contextes d'authentifications et de leur hiérarchie
24. Présentation de LemonLDAP::NG
● LemonLDAP::NG est un logiciel libre (licence GPL) hébergé chez
OW2 : http://lemonldap.ow2.org
● Développé à l'origine par Xavier GUIMARD pour les besoins de la
Gendarmerie Nationale
● Produit basé sur Apache et mod_perl, entièrement écrit en Perl
(moteur et interfaces)
● Fournit un portail d'accès dynamique et une interface
d'administration
31. Les autres nouveautés de la future version 1.0
● Fournisseur SAML2, CAS et OpenID
● Choix d'authentification : plusieurs modes peuvent être proposés à
l'utilisateur (par exemple authentification LDAP ou OpenID)
● Configuration complète dans l'interface graphique
● Choix des thèmes du portail
● Handlers pour Sympa et Zimbra
● Auto-validation de formulaires
● Recherche récursive dans les groupes LDAP
● ...
32. Simplifiez vous la gestion
des certificats avec LinRA
Daniel FAGES
dfages@linagora.com
Séminaire septembre 2010
« Les solutions Open Source d'Identité et de
Sécurité de LINAGORA ! »
33. LinRA
LinRA est un produit qui remplit la fonction d'autorité
d'enregistrement et qui permet de gérer le cycle de vie des
certificats des utilisateurs à très grande échelle, de façons
sécurisée et aisée pour tous les publics
34. LinRA – Autorité d'enregistrement
En tant qu'autorité d'enregistrement, les fonctions suivantes sont
assurées :
● Gestion des demandes de certification
● Approbation ou refus des demandes de certification
● Demande en ligne d'un certificat par l'opérateur
● Recherche et récupération de certificats
● Statistique/Reporting/Facturation
● Renouvellement automatisé des AC
● Gestion des demandes de révocation
35. LinRA – Gestion par l'utilisateur
L'utilisateur final peut gérer lui-même le cycle de vie de son
certificat :
● Initialisation du compte
● Demande et retrait du certificat
● Visualisation de son certificat
● Révocation du certificat
● Demande de dépannage (perte du certificat avec oubli des réponses
d'identification)
36. LinRA – Fonctions avancées
LinRA assure les fonctions suivantes :
● Gestion des demandes de recouvrement par l'utilisateur final,
possiblement approuvées par un administrateur
● Séquestre possible des clés privées des utilisateurs (pour clés de
chiffrement notamment) – possibilité d'imposer l'approbation de n
administrateurs pour autoriser le recouvrement
● Utilisation du moteur de workflow JBPM pour la description des
process
38. LINRA - Prérequis
● OS : Linux, Sun Solaris 10, Windows
● Serveur d'applications : Tomcat, Jboss (v4 mini), Glassfish
● Base de données : Mysql, PostgreSQL
● Navigateur Web : Firefox (v1.5 et supérieur), Internet Explorer (5.5
et supérieur pour les utilisateurs finaux ; 6.0 et supérieur pour les
opérateurs)
42. Le contexte réglementaire
Les objectifs de la loi sur le jeu en ligne
• La protection du joueur
• L’intégrité la sécurité, la fiabilité et la transparence des jeux
• Le lutte contre la fraude et le blanchiment
• La préservation des ressources fiscales
Les principes d’exploitation liés à cette loi
• Système de licences
• Création d’une autorité de régulation (ARJEL)
• Traitement des demandes d’agrément
• Supervision des opérations de jeu
• 3 familles de jeu autorisées : paris hippiques mutuels, paris
sportifs, jeux de cercle (poker)
• Les opérateurs doivent disposer d’un site « .fr »
• Les opérateurs doivent fournir des données à l’autorité
(ARJEL) pour la supervision et le contrôle
• Une partie des données doivent être archivées sur un
support sécurisé sur le territoire français
43. Les implications de ce contexte – CHECK LIST
Exigences sur la maturité du SI
Exigences sur la maturité du SI
Votre plateforme
Votre plateforme
Exigences sur la plateforme de jeu
Exigences sur la plateforme de jeu
Exigences sur le software de jeu
Exigences sur le software de jeu
Exigences sur le frontal
Exigences
Coffre fort Capteur
réglementaires
46. Adaptée à VOS besoins
Une solution conforme à la réglementation ARJEL
en vigueur
- Certification technique (frontal)
- Validant toutes les conditions réglementaires imposées (art. 22)
Une solution robuste et basée sur des composants
éprouvés
- LinSIGN de LINAGORA (nombreuses références en production)
- Architecture innovante (Base de données noSQL pour la
performance) et basée sur des composants Open Source
Un business model adapté aux opérateurs de jeu en
ligne
- Modèle sans licences logicielles et donc « cost effective » pour un
marché émergeant
- Un système d'assurance logicielle non proportionnel au nombres
d'utilisateurs ou de CPUs et donc flexible et adpapté à la croissance
du business
47. Calendrier de la CSPN
● Rédaction de la cible de sécurité : Septembre 2010
● Dépôt du coffre-fort : début Octobre 2010
● Validation finale du coffre-fort : Décembre 2010
48. Notre première référence
● Qui : France Pari Sportif – Arnaud Derrendinger
● Quoi : le coffre-fort LinSecure
● Comment :
● Intégration avec un capteur spécifique
● Intégration avec des HSM nCipher Thales
● Mise en ligne : en attente de la validation ARJEL
● Volumétrie pic : 50 évènements par seconde
49. Merci de votre attention
Contact :
LINAGORA – Siège social
80, rue Roque de Fillol
92800 PUTEAUX
FRANCE
Tél. : 0 810 251 251 (tarif local)
Fax : +33 (0)1 46 96 63 64
Mail : info@linagora.com
Web : www.linagora.com