3. Nicolas Bocquet
Responsable Pôle WebResponsable Pôle Web
@Nicolas_Bocquet
Pour suivre nos prochains
evénements et formations
@linalis
4. • Opération en Suisse & France depuis 2002
• Domaines d'expertises:Domaines d'expertises:
Web Communications, Business Intelligence
• Activité :
– Services : Consulting, development, systems integration
• Support & Maintenance, both on site & remote
– Training : Certified training center for public and customised
• Pentaho BI, Acquia Drupal & Linux Professional Institute
– Recruitement : Providing IT Project resources and
permanent recruitment services
Qui Sommes Nous ?Qui Sommes Nous ?
8. Parlons plutôt de Web SSO
>> Système d'authentification uniqueSystème d'authentification unique que pour
le WEB
>> un seul login / mot de passe = plusieursun seul login / mot de passe = plusieurs
sitessites
> Prouver que le client est bien authentifiéProuver que le client est bien authentifié
12. Mais avec différentes fonctionnalités
>> Récupération d'attributsRécupération d'attributs
>> Gestion des groupes et rôlesGestion des groupes et rôles
> Cercle de confiance
> Création de compte automatique
14. OPENID
>> Système utilisé par le grand PublicSystème utilisé par le grand Public
>> le Login contient l'url du servicele Login contient l'url du service
d'authentificationd'authentification
> Utilise les redirection HTTP
> Requiert ou non un serveur
d'authentification
http://openid.net
15. OPENID
>> Partage d'attributs avec confirmation dePartage d'attributs avec confirmation de
l'utilisateurl'utilisateur
>> Utiliser par de gros player (Yahoo, FB,Utiliser par de gros player (Yahoo, FB,
Google, Orange Labs)Google, Orange Labs)
> Moyennement adopté> Moyennement adopté
16. CAS
>> Central Authentication Service
>> Développé initialement par YALEDéveloppé initialement par YALE
> Système de ticketing proche de Kerberos
> Ne permet pas de partage d'attributs
> Possibilité de proxyfication
http://www.ja-sig.org/cas
17. Shibboleth / SAML
> Développé par Internet2> Développé par Internet2
>> Security Assertion Markup LanguageSecurity Assertion Markup Language
>> Fédération d'identitéFédération d'identité
>> 2 objectifs2 objectifs
•Déléguer l'authentificationDéléguer l'authentification
•Partager des attributsPartager des attributs
http://shibboleth.internet2.edu/
18. Shibboleth
>> Gros socle organisationnelGros socle organisationnel
•Gestion de la confiance dans le cercleGestion de la confiance dans le cercle
>> IDP et SPIDP et SP
>> Choix des attributs par SPChoix des attributs par SP
19. Et les autres
>> OauthOauth
>> Facebook ConnectFacebook Connect
>> TwitterTwitter
>> le votrele votre
21. Drupal, le SSO en multi-site
> Ne demande aucun module supplémentaire> Ne demande aucun module supplémentaire
> Ne fonctionne que avec des sites Drupal> Ne fonctionne que avec des sites Drupal
> Avec le même domaine
> Partage des tables dans la base de
données
22. OpenID, une solution intégrée
> Module fournis dans la distribution standard> Module fournis dans la distribution standard
> Activation en un clic> Activation en un clic
> Marche avec tous les IDP OpenID grand
public
23. CAS et sa facilité de mise en
œuvre
> Module cas à installer> Module cas à installer
http://drupal.org/project/cashttp://drupal.org/project/cas
> Demande une création du compte local> Demande une création du compte local
avantavant
> Peut être utiliser en collaboration avec> Peut être utiliser en collaboration avec
LDAP pour la gestion des rôlesLDAP pour la gestion des rôles
> Mise en place assez simple dans une petite> Mise en place assez simple dans une petite
communauté et avec des applicationscommunauté et avec des applications
cassifiéscassifiés
24.
25. Shibboleth, sa puissance de feu
> Module shib_auth à installer> Module shib_auth à installer
http://drupal.org/project/shib_authhttp://drupal.org/project/shib_auth
> Mise en place du Service Provider sur le> Mise en place du Service Provider sur le
serveur ainsi qu'un mod_shib pour leserveur ainsi qu'un mod_shib pour le
VirtualHostVirtualHost
> Configuration demandant quelques> Configuration demandant quelques
paramètresparamètres
26. Shibboleth, sa puissance de feu
> Création et mise à jour des comptes> Création et mise à jour des comptes
> Mapping des attributs avec les champs> Mapping des attributs avec les champs
DrupalDrupal
> Synchronisation des rôles dans Drupal> Synchronisation des rôles dans Drupal
> Logout vers une url sur l'IDP> Logout vers une url sur l'IDP
30. Les difficultés
> Processus de gestion des comptes Parents> Processus de gestion des comptes Parents
> Démarrage en cours d'année> Démarrage en cours d'année
> Activation manuel> Activation manuel
> Besoin de donner l'édition des pages au> Besoin de donner l'édition des pages au
StaffStaff
> Besoin de simplicité car les personnes sont> Besoin de simplicité car les personnes sont
sur 3 sites différentssur 3 sites différents
31. Le contexte du Projet
> Site vieillissant en ColdFusion> Site vieillissant en ColdFusion
> Envie d'héberger en Interne le site Web> Envie d'héberger en Interne le site Web
> Site comprenant un site Public et un> Site comprenant un site Public et un
intranet pour les parents et le staffintranet pour les parents et le staff
32. Implémentation de Shib coté
Shib
> Intégration de Shib IDP avec l'annuaire> Intégration de Shib IDP avec l'annuaire
centralcentral
> Connecteur d'authentification et connecteur> Connecteur d'authentification et connecteur
de récupération d'attributsde récupération d'attributs
> Connexion avec des Services Webs> Connexion avec des Services Webs
> Système de OTP avec Shib et la base de> Système de OTP avec Shib et la base de
donnée centraliséedonnée centralisée
33. Implémentation coté Drupal/SP
> Assez Simple → activation du module> Assez Simple → activation du module
> Mapping des attributs avec les champs> Mapping des attributs avec les champs
DrupalDrupal
> Utilisation des champs pour affecter la> Utilisation des champs pour affecter la
taxonomie aux utilisateurstaxonomie aux utilisateurs
> Utilisation massive de TAC pour gérer les> Utilisation massive de TAC pour gérer les
rôles et droitsrôles et droits
34.
35.
36.
37.
38. Prochaines étapes du Projet
> Connecter Shibboleth avec Moodle et> Connecter Shibboleth avec Moodle et
Google AppsGoogle Apps
> Simplement le matin de se logger et juste> Simplement le matin de se logger et juste
naviguer entre les services sansnaviguer entre les services sans
authentificationauthentification