JOSY « Authentification Centralisée »Paris, 6 mai 2010

Single Sign-On

Copyright 2010 © Consortium ESUP-Portail

Single Sign-On open source avec CAS

(Central Authentication Service)

Julien Marchal

SSO open source avec CAS

• Introduction

– Pourquoi le Single Sign-On ?

– Principes du SSO sur le web

Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010

• Le mécanisme CAS

• L’authentification sous CAS

• Démonstration

Pourquoi le Single Sign-On ?

• Single Sign-On = Authentification unique et unifiée

• Authentifications multiples

• Sécurité

– Le vol d’un mot de passe unique est critique

Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010

– Le vol d’un mot de passe unique est critique

• Protéger le mot de passe

• Ne pas le transmettre aux applications(simplification des applications et non délégation de la sécurité)

• Différents mécanismes d’authentification

– Abstraction du mode d’authentification

• LDAP, NIS, BDD, certificats X509, …

Pourquoi le Single Sign-On ?

Appli n°1Appli n°2Appli n°3

Service

Appli n°1Appli n°2Appli n°3

Service

Copyright 2010 ©

sans CAS

Navigateur web

Appli n°1Appli n°2Appli n°3

Navigateur web

Appli n°1Appli n°2Appli n°3

avec CASJOSY "Authentification Centralisée, Paris, 6 mai 2010

Principes du SSO web

• Centralisation de l’authentification

– Sur un serveur (d’authentification)

• Redirections HTTP transparentes

– Des applications vers le serveur d’authentification

Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010

– Des applications vers le serveur d’authentification

– Du serveur d’authentification vers les applications

• Passage d’informations lors de ces redirections

– Cookies

– Paramètres CGI

Principes du SSO web

Appli n°1Appli n°2Appli n°3

ServiceRéférenciel utilisateurs

Appli n°1Appli n°2Appli n°3

ServiceRéférenciel utilisateurs

Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010

sans CAS

Navigateur web

Appli n°1Appli n°2Appli n°3

Navigateur web

Appli n°1Appli n°2Appli n°3

avec CAS

Mais comment ça marche ?

1ère authentification d’un utilisateur

Serveur CAS

Copyright 2010 ©

Navigateur web

HT

TP

S

JOSY "Authentification Centralisée, Paris, 6 mai 2010

1ère authentification d’un utilisateur

Référenciel utilisateurs

Serveur CAS

Copyright 2010 ©

Identifiant

Mot de passe

TGC

•TGC : Ticket Granting Cookie• Passeport du navigateur auprès du serveur CAS

• Cookie privé et protégé (le seul cookie utilisé dans CAS ;il n’est pas obligatoire)

•Ticket opaque rejouable

HT

TP

S

TGC

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Navigateur web

Accès à une application(après authentification)

HT

TP

S

ST

ST

ID

Serveur CASApplication

Copyright 2010 ©

HT

TP

S

ST

• ST : Service Ticket

– Passeport du navigateur auprès

du client CAS

– Ticket opaque non rejouable

– Limité dans le temps

TGC

TGC

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Navigateur web

Accès à une application(après authentification)

HT

TP

S

ST

ST

ID

Application

Copyright 2010 ©

HT

TP

S

ST

TGC

TGC

• Toutes les redirections sont transparentes pour l’utilisateur

Dans la pratique…

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Navigateur web

Accès à une application(avant authentification)

Application

Serveur CAS

Copyright 2010 ©

HT

TP

S

formulaired’authentification

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Navigateur web

Accès à une application(avant authentification)

ST

ID

Serveur CAS

Application

Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010

TGC

HT

TP

S ST

identifiantmot de passe ST

TGC

• Il n’est pas nécessaire de s’être préalablement authentifié auprès du serveur CAS pour accéder à une application

Navigateur web

Remarques

• Une fois le TGC acquis, l’authentification devient transparente pour l’accès à toutes les autres applications CAS-ifiées

Copyright 2010 ©

les autres applications CAS-ifiées

• Une fois authentifié pour une application, une session applicative est mise en place

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Fonctionnement n-tiers

Serveur CAS

Serveur (imap)

Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010

TGC

ST

ST

ID

PGT

PGT

Navigateur web

Application (webmail)

Fonctionnement n-tiers

PTID

• PGT : Proxy Granting Ticket– Passeport d'un utilisateur pour

une application auprès du serveur CAS

– Ticket opaque rejouable

Serveur (imap)

Serveur CAS

Copyright 2010 ©

TGC

ST

PGT

PT

PGT

PT

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Application (webmail)

Navigateur web

Single Sign-Out

logout

Session applicative

Navigateur web

Serveur CAS

Session applicative

Copyright 2010 ©

TGC

JOSY "Authentification Centralisée, Paris, 6 mai 2010

• Lors d’un logout CAS– Le serveur va envoyer des requêtes de logout à chaque service ayant

demandé un ticket pour l’utilisateur

– A charge aux applications de traiter le logout

Session applicative

Technologies utilisées

• JAVA

• SPRING

Copyright 2010 ©

• SPRING

• REST

• HTTP

• SSL

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Les authentifications

• Le choix du/des mode(s) d’authentification est laissé à l’initiative de l’administrateur

• Configuration XML pour ajouter des « handlers » d’authentification

• Possibilité de développer ses propres couches d’authentification

Copyright 2010 ©

d’authentification

Active directory

Fichier plat

JAASJDBC LDAP

RADIUS

SPNEGO

X509

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Les protocoles

• Open ID• Système d’authentification décentralisé qui permet

l’authentification unique

Copyright 2010 ©

l’authentification unique

• SAML• Google apps

• RESTful

JOSY "Authentification Centralisée, Paris, 6 mai 2010

Démonstration rapide

nancy2.fr

nancy2.fr

nancy2.fr

Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010

nancy2.fr

Des questions ?

Copyright 2010 ©

• http://www.ja-sig.org/wiki/display/CAS/Home

JOSY "Authentification Centralisée, Paris, 6 mai 2010