• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong
 

SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

on

  • 1,678 views

SophiaConf 2010 Conférence du 30 Juin 2010 à Polytech'Nice Sophia sur la Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong et trois retours ...

SophiaConf 2010 Conférence du 30 Juin 2010 à Polytech'Nice Sophia sur la Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong et trois retours d'expériences : Maitre Pascal Agosti, Cabinet Caprioli&Associés; Frédéric AIME, Chief Technical Officer de JANUA; Florent Peyraud, CEO et fondateur de TRYPHON

Statistics

Views

Total Views
1,678
Views on SlideShare
1,677
Embed Views
1

Actions

Likes
0
Downloads
31
Comments
0

1 Embed 1

http://www.telecom-valley.fr 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong Presentation Transcript

    • Ce cycle de conférence est porté par la Commission Open Source Telecom Valley dont les objectifs sont le partage de connaissances, l'échange de best practices et l'animation de l'éco-système du logiciel libre azuréen Commission Open Source SophiaConf2010
    • 4 conférences gratuites proposées par la commission Open Source de Telecom Valley Mercredi 30 Juin 17h30 Jeudi 08 Juillet 14h Gestion des identités HTML5 : et sécurisation des services web : une plateforme contemporaine pour le Web réalités & perspectives par JULIEN QUINT par Hubert LE VAN GONG Consultant Indépendant, expert du WEB et du XML Expert en sécurisation des services web 17h30 Lundi 05 Juillet 17h30 Méthodologie de gestion de projet agile : SCRUM Android : Tout savoir sur l'évolution des 12 derniers mois par Claude AUBRY et de l'année à venir Consultant expert dans le génie Logiciel par Arnaud FARINE Consultant Technique, Expert Android
    • Geston des identtés et sécurisaton des services web : réalités & perspectves   par Hubert LE VAN GONG Expert en sécurisaton des services web Mercredi 30 Juin 17h30
    • Introduction Architecte
    • Introduction Architecte
    • Introduction Architecte ● Spécialiste de la Gestion des identités & services web – Représentant Sun au sein d'organismes de standardisations ● Liberty Alliance, Kantara Initiative, IETF etc. ● Community Leader pour OpenSSO ● Dévelopeur (OAuth) – Déploiement (openid.sun.com) ● CTO's Office (interopérabilité Sun-Microsoft) ● http://blog.levangong.com hubertlvg at gmail.com
    • Plan ● La Problématique ● Evolution des besoins ● Un cycle complet ● Technologies ● Web SSO ● Services Web ● Le Futur 5 / 63
    • Gestion Des Identités Audience ● Service web entre entreprises ● Service web intra-entreprise ● Consumer facing companies (“web 2.0”) Problèmes & Objectifs ● Une explosion de la complexité ● Rationalisation des coûts ● Limitation des risques 6 / 63
    • Évolution des Besoins Dans l'Entreprise ● Outsourcing ● Intégration merger etc. Sur le Web ● Progression des besoins // évolutions web 7 / 63
    • Evolution: Toujours Plus Complexe # Identités Web # Applications Web # Relations En Ligne 8 / 63
    • Evolution: Toujours Plus Complexe # Identités Web # Applications Web # Relations En Ligne 9 / 63
    • Evolution: Toujours Plus Complexe # Identités Web # Applications Web # Relations En Ligne 10 / 63
    • Evolution: Toujours Plus Complexe # Identités Web # Applications Web Objectif !! # Relations En Ligne 11 / 63
    • Évolution des Besoins Risques plus importants ● Vie privée ● Entreprises plus exposées (risques, pénal) 12 / 63
    • Évolution des Besoins Risques plus importants ● Vie privée ● Entreprises plus exposées (risques, pénal) Profile utilisateur Force le partage d'informations Extension browser public par défaut → info à Google additionelles Street View Distribution d'applications → quand la tentation non désirées est trop grande 13 / 63
    • Quels Objectifs ? Limiter Les Risques ● Sécuriser les services webs et leurs échanges ● Limiter le vol d'identité pour le consommateur ● Limiter l'exposition légale d'une entreprise ● Traçabilité / Audit Autres Avantages ● Meilleure interopérabilité ● Architecture plus simple, plus efficace ● Satisfaction de l'usager 14 / 63
    • Quels Objectifs Rationaliser Les Coûts ● Réduction moyens informatiques (stockage, IT etc.) ● Eviter les duplications de BD ● Déveloper les collaborations (intra & inter entreprises) 15 / 63
    • Scenario – Privacy Freak ● Achat matériel d'espion - http://www.LaPiscine.biz ● Paiement par carte de crédit ● Livraison à mon lieu de travail 2 La Piscine Ma Banque 3 1 JeLivre.biz Moi 4 16 / 63
    • Scenario – Privacy Freak ● Achat matériel d'espion - http://www.LaPiscine.biz ● Paiement par carte de crédit ● Livraison à mon lieu de travail 2 Achat? Adresse? La Piscine Ma Banque 3 1 Espion? JeLivre.biz Moi 4 17 / 63
    • Une Gestion des Identités Globale Un cycle complet ● Provisioning ● Authentification / Controle d'accès / Autorisation ● Logging ● Audit ● De-provisioning 18 / 63
    • Une Gestion des Identités Globale Acteurs ? identité identité ou Identités de qui ? Emetteur ● Au niveau du message Récepteur Commanditaire ● Au niveau des cibles Destinataire 19 / 63
    • Les Technologies Passport ID-WSF 2.0 InfoCard OAuth 1.0 ID-FF 1.2 LDAP SAML 1.0 SAML 2.0 WS-* OpenID 1.0 OpenID 2.0 20 / 63
    • Fédération des Identités (1) “Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.” 21 / 63
    • Fédération des Identités (1) “Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.” Cercle de Confiance SP IdP SP 22 / 63
    • Fédération des Identités (1) “Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.” Délégation d'authentification Cercle de Confiance SP IdP Single Sign-On Single Sign-On Partage d'Attributs Partage d'Attributs SP L'usage, pas le stockage! 23 / 63
    • Fédération des Identités (2) + ● Nouvelles opportunités de business ● Délocaliser services auprès de partenaires ● Satisfaction clients/usagers ● Règles / Protocoles ● Sécurité de l'information ● Privacy ● Conformité aux lois 24 / 63
    • Fédération des Identités (3) Principaux Protocoles ● SAML (évolution de Liberty Alliance ID-FF) ● Shibboleth ● OpenID ● WS-Federation Adoption ● Secteur Privé (banques, Telcos etc.) ● Gouvernements: France, Nouvelle-Zélande, Canada etc. ● Education: Universités 25 / 63
    • SAML Security Assertion Markup Language propose: ● Single Sign-On – Browser standards – Clients HTTP qui connaissent l'IdP mais sans SOAP ● Single Log Out ● Fédération d'identités – Préserve l'anomimité – Utilise identifiant respectant la vie privée ● Échange d'attributs 26 / 63
    • SAML Assertions Assertions Authentification Authentification Autorisation Autorisation Attributs Attributs 27 / 63
    • SAML Assertions Assertions Protocoles Protocoles Authentification Authentification Requêtes/Réponses pour Requêtes/Réponses pour Autorisation Autorisation obtenir des assertions et obtenir des assertions et Attributs Attributs gérer les identités gérer les identités SSO profiles Artifact resolution NameID mapping SAML attributes 28 / 63
    • SAML Assertions Assertions Protocoles Protocoles Bindings Bindings Authentification Authentification Requêtes/Réponses pour Requêtes/Réponses pour Mapper les protocoles SAML Mapper les protocoles SAML Autorisation Autorisation obtenir des assertions et obtenir des assertions et sur des protocoles sur des protocoles Attributs Attributs gérer les identités gérer les identités de message & transport de message & transport SSO profiles SOAP Artifact resolution Reverse SOAP NameID mapping HTTP Redirect SAML attributes HTTP POST HTTP Artifact 29 / 63
    • SAML Assertions Assertions Protocoles Protocoles Bindings Bindings Authentification Authentification Requêtes/Réponses pour Requêtes/Réponses pour Mapper les protocoles SAML Mapper les protocoles SAML Autorisation Autorisation obtenir des assertions et obtenir des assertions et sur des protocoles sur des protocoles Attributs Attributs gérer les identités gérer les identités de message & transport de message & transport SSO profiles SOAP Artifact resolution Reverse SOAP NameID mapping HTTP Redirect SAML attributes HTTP POST HTTP Artifact Profiles Profiles Ctxt AuthN Ctxt AuthN Metadata Metadata Combiner protocoles, Combiner protocoles, assertions et bindings assertions et bindings Information détaillée pour satisfaire un Information détaillée Configuration Configuration pour satisfaire un sur type et niveau sur type et niveau des IdP & SP cas d'usage précis cas d'usage précis d'authentification des IdP & SP d'authentification 30 / 63
    • SAML Sujet Authentification Autorisation Attribut 31 / 63
    • SAML Assertion <saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0" IssueInstant="2010-06-29T12:00:00Z"> <saml:Issuer>www.MonIdP.fr</saml:Issuer> <saml:Subject> <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid- format:emailAddress">GI.Joe@MonIdP.fr</saml:NameID> </saml:Subject> <saml:Conditions NotBefore="2010-06-29T12:00:00Z" NotOnOrAfter="2010-07-01T12:00:00Z"> </saml:Conditions> ... statements ... </saml:Assertion> 32 / 63
    • SAML Contexte d'Authentification <saml:Assertion ...info générale ici ...> ... et ici … <saml:AuthnStatement AuthnInstant=”2010-06-29T12:00:00Z” SessionIndex=”12345678912”> <saml:AuthnContext> <saml:AuthnContextClassRef> urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport </saml:AuthnContextClassRef> </saml:AuthnContext> </saml:AuthnStatement> </saml:Assertion> 33 / 63
    • SAML Les Contextes d'Authentification Internet Protocol Password Public Key – XML Signature Kerberos Smartcard Mobile Smartcard PKI One Factor unregistered Software PKI Internet Protocol Telephony Mobile Two Factor Unregistered Nomadic Telephony Mobile One Factor Contract Personalized Telephony Mobile Two Factor Contract Authenticated Telephony Password Secure Remote Password Password Protected Transport SSL/TLS Cert-based Client AuthN Previous Session Time Sync Token Public Key – X.509 Unspecifed Public Key - PGP Public Key - SPKI 34 / 63
    • SAML (Protocole) Example: le Browser POST profile 35 / 63
    • SAML Pour en savoir plus: ● Spécification – http://saml.xml.org ● Sur le respect de la vie privée: “Achieving Privacy in a Federated Identity Management System” - Financial Cryptography and Data Security '09 http://fc09.ifca.ai/papers/fc09-landau.pdf 36 / 63
    • Services Web Pourquoi? ● Contourner les limitations des browsers ● Permet aux interactions basées sur l'identité de se passer même en l'absence de l'utilisateur ● De “Payer mes factures automatiquement” → “Médecin accédant à mon dossier dans l'urgence” ● Collaboration sécurisée entre plusieurs services – Personalisation – Controle d'accès 37 / 63
    • Services Web Objectifs ● Permettre l'échange d'attributs ● Permettre l'accès aux ressources Les besoins ● Sécuriser les échanges ● Méchanismes de délégation d'autorisation 38 / 63
    • Services Web Principaux Protocoles ● ID-WSF 2.0 (Liberty Alliance) ● Oauth 1.0 Rev A ● WS-* Adoption ● Réseaux sociaux (twitter, facebook, Yahoo! Etc.) ● Le gros reste à venir 39 / 63
    • ID-WSF 2.0 Scenario: User's browser User's cell phone 9 1 MyID.com 2 BuyPuppyStuff.com 4 3 Discovery Service 8 6 11 5 7 10 Personal Interaction Profile Service Service 40 / 63
    • ID-WSF 2.0 Description Third- ID-SIS party svcs Authn, Third- SSO, Interaction People Discovery SAML2 party Identity Service Service Service Metadata svcs Mapping Data Services Services Template Security Mechanisms Security SAML Profile policy URIs SOAP Binding Subscription/ Security Mechanisms Notification Framework WS-Addressing SAML Token Profile SOAP Binding WS-Addressing WS-Security Core TCP/IP, UDP, SSL/TLS, HTTP, SOAP 1.1, SAML assertions WSDL 41 / 63
    • ID-WSF 2.0 Pour en savoir plus: http://projectliberty.org ● Spécifications ● Introduction Technique: “Liberty Alliance Web Services Framework: a technical overview” 42 / 63
    • OAuth ● Orienté Web 2.0 ● Délégation d'autorisation ● Composé de: ● Protocole basé sur la redirection du browser/agent – Utilisateur, Consumer, Service Provider ● Mécanismes de sécurisation ≠ SAML ou Liberty – Authentifie toutes les parties – Remplace RFC 2617 43 / 63
    • OAuth 44 / 63
    • Oauth - Évolutions Oauth 2.0 Community Oauth Oauth 1.0 1.0a 2007 2008 2009 2010 45 / 63
    • OAuth Ressources ● Spécification: http://oauth.net ● Librairies disponibles dans la plupart des langages ● Librairie Java pour le frwk RESTful Jersey (JAX-RS) – Signature des messages – Filtre Jersey côté Client (signature automatique) – Wrapper côté serveur (vérification signature) – http://wikis.sun.com/display/Jersey/OAuth 46 / 63
    • Oauth – Jersey Fwk OAuthParameters params = new OauthParameters().realm(REALM). consumerKey(CONSUMER_KEY). signatureMethod(RSA_SIGNATURE_METHOD). timestamp(RSA_TIMESTAMP). nonce(RSA_NONCE).version(VERSION); OAuthSecrets secrets = new OAuthSecrets().consumerSecret(RSA_PRIVKEY); OAuthSignature.sign(request, params, secrets); Consumer params = new OAuthParameters(); params.readRequest(request); secrets = new OAuthSecrets().consumerSecret(RSA_CERTIFICATE); assertTrue(OAuthSignature.verify(request, params, secrets)); Service Provider 47 / 63
    • WS-* Services Web ● Pas forcément basés sur l'identité ● SOAP/XML Approche hyper-modulaire ● → hyper complexe... 48 / 63
    • WS-* 49 / 63
    • WS-* Quelques spécifications se détachent: ● WS-Adressing ● WS-Security ● WS-Trust (maintenant WS-SX) ● WS-Policy 50 / 63
    • InfoCard ● Initiative de Microsoft → User Centric ● Basé sur un sous-ensemble de WS-* ● Echange d'attributs ● Notions de cartes (avec attributs) pour prouver son identité digitale ● Interface graphique client ● Vista / Windows 7 ● Linux 51 / 63
    • InfoCard ● Infocard → en train de disparaitre? ● Dernière version du serveur de Microsoft est incompatible avec le client InfoCard ● Cycle de release tous les 2 à 3 ans... ● Reste 1 seul autre Selecteur InfoCard (Azigo) lui aussi +/- en panne. 52 / 63
    • RESUMONS 53 / 63
    • Partage Attributs Partage Attributs Autorisation Autorisation Authentification Authentification Domaines RESUMONS 54 / 63
    • Partage Attributs Partage Attributs Autorisation SAML Autorisation ... OAuth Authentification Authentification Elus Domaines RESUMONS 55 / 63
    • Partage Attributs Partage Attributs Autorisation SAML Autorisation ... OAuth Authentification Authentification Elus Domaines RESUMONS Web 2.0 Web 2.0 Entreprise Entreprise Marchés 56 / 63
    • Et Maintenant ? 57 / 63
    • Gérer l'Hétérogénéité L'existant est souvent important: ● Déploiement Annuaires ● Applications avec interface non-standardisées (et non modifiables!) Il faut pouvoir: ● Propager les sessions Dans le futur on aimerait: ● Échanger des politiques d'accès ● ... 58 / 63
    • Accros à l'Identité Mais de grands besoins de: ● Simplification ● Diminution de l'exposition au risque ● Confidentialité omni-présente dans certains domaines ● Expansion de l'utilisation – Propagation de l'IAM à d'autre domaine ex: protection des contenus: DRM 59 / 63
    • Dévelopements Futurs (1) Améliorer la facilité de déploiements ● Concept d'appliance / turn-key ● Meilleure console pour l'administrateur ● Écrans plus simples pour les utilisateurs (création de comptes, provisioning etc.) Minimiser l'intrusion pour les applications ● Exemple: collectivités locales vis-à-vis MSP ● Technique comme les Fedlets ● Authentification transparente (différent niveaux) 60 / 63
    • Dévelopements Futurs (2) Interopérabilité entre protocoles ● Tester la conformance aux spécifications ● Déveloper les passerelles entre protocoles – Echanger assertion SAML pour un jeton OAuth... – Profiter de SAML pour insérer jeton OAuth dans l'assertion SAML (piggybacking) – Bénéficier de la confiance déjà établie avec SAML 61 / 63
    • Dévelopements Futurs (3) Technologie ● Découverte / Localisation ● ID-WSF → le seul découverte basée sur l'identité ● Des efforts en cours – XRD / LRD – Oauth ● Terminaux avancés ● Smartphone, tablettes etc. ● Advanced Clients (Liberty Alliance) 62 / 63
    • MERCI ! http://blog.levangong.com hubertlvg at gmail.com 63 / 63
    • Commission Open Source Retours d’expériences Maitre Pascal Agosti, Cabinet Caprioli&Associés authentification et éléments de droit Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue
    • Sophia Conf 30 juin 2010 Gestion des identités et sécurisation des services web : réalités & perspectives - Authentification et éléments de droit - Pascal AGOSTI Avocat au Barreau de Nice - Docteur en droit © CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com contact@caprioli-avocats.com / contactparis@caprioli-avocats.com
    • Le cabinet Caprioli & Associés est une société d’avocats en droit des affaires (privé et public) située à Paris et à Nice. • Il est spécialisé dans : – L’informatique, les technologies de l’information et des communications électroniques – La sécurité des systèmes d’information et la dématérialisation – les propriétés intellectuelles (droit d’auteur, marques, dessins, brevets, logiciels, bases de données, …) • Adresses : 6, rue Saulnier, 75009 Paris 9, avenue Henri Matisse, 06200 Nice • Site Web : www.caprioli-avocats.com • Mél : contact@caprioli-avocats.com (Nice) paris@caprioli-avocats.com (Paris) Authentification et éléments de droit Introduction 30/06/10 27/01/10 3
    • • Une histoire : jugement de première instance de l’Illinois « Epoux Shames-Yeakel c/ Citizens Financial Bank » du 21 août 2009 (Case 07 C 5387) Les époux Shames-Yeakel étaient les clients de Citizen Financial Bank. En février 2007, une personne non identifiée a accédé, à partir d’une autre adresse IP que celle utilisée par les Epoux, à l’un des comptes qu’ils possédaient, en utilisant l’identifiant et le mot de passe de la femme. Cette personne a ensuite effectué un Le juge américain accueille la plainte du couple à virement électronique au montant de 26.500$ à partir du compte. L’argent a été alors transféré vers une ? banque se situant à Hawaii pour finalement être envoyé vers une banquesuite d'une l’encontre d’un établissement bancaire à la en Autriche. Quand le vol a été découvert et les fonds localisés, la banque autrichienne a refusé de retourner la somme en question. Par la suite, Citizens Financial a décidé d’engager la responsabilité en ligne. en exigeant le fraude intervenue sur son compte bancaire des Epoux Authentification à un facteur insuffisante remboursement de sommes dues. Face à cette situation, les Epoux ont intenté un procès à Citizens Financial Bank en alléguant que celle-ci a manqué de procéder à toutes les mesures nécessaires pour protéger leur compte. Authentification et éléments de droit Présentation générale 30/06/10 27/01/10 4
    • Quelques questions à se poser concernant l’accès au SI : Qui êtes vous ? Déclaration d’identité/Identification Comment en être Vérification sûr? d’identité/Authentification Comment puis je accéder au SI? Politique d’Identity and Access Management Comment sont gérés les droits? Authentification et éléments de droit Présentation générale 27/01/10 30/06/10 5
    • • Définition de l’authentification et de l’identification : « L’authentification a pour but de vérifier l’identité dont une entité (personne ou machine) se réclame. Généralement, l’authentification est précédée d’une identification qui permet à cette entité de se faire reconnaître du système par un élément dont on l’a doté. En résumé, s’identifier c’est communiquer une identité préalablement enregistrée, s’authentifier c’est apporter la preuve de cette identité ». Référentiel Général de Sécurité, §3.2 Authentification et éléments de droit Présentation générale 30/06/10 27/01/10 6
    • Objectifs de l’authentification : Contrôle d’accès Authentification Imputabilité Authentification et éléments de droit Présentation générale 30/06/10 27/01/10 7 7
    • Techniques d’authentification Elles reposent sur : • Un élément que connaît l’utilisateur (ex : mot de passe) • Un élément que possède l’utilisateur (ex : carte à puce) • Un élément caractérisant personnellement l’utilisateur (ex : biométrie) CNIL Authentification et éléments de droit Présentation générale 30/06/10 27/01/10 8
    • Principaux domaines juridiques impactés : Droit bancaire et Droit civil Droit public financier • Contractualisation en ligne • Contractualisation en • Accès à des téléservices ; (crédit à la consommation) ; ligne Exigences du RGS • Virement en ligne ; • Accès aux comptes ; Exigences authentification non rejouable Label IdéNum • Objectif : fédérer les outils d'authentification émis par différents acteurs, en garantissant un niveau homogène de sécurité et d’interopérabilité. Authentification et éléments de droit Présentation générale 30/06/10 27/01/10 9
    • Avez-vous des questions ? Merci de votre attention ! Pascal AGOSTI Avocat au Barreau de Nice Docteur en droit Société d’avocats 9 avenue Henri Matisse, 06200 Nice / Tél. 04 93 83 31 31 6 rue Saulnier, 75009 Paris / Tél. 01 47 70 22 12 www.caprioli-avocats.com mél : contact@caprioli-avocats.com p.agosti@caprioli-avocats.com Authentification et éléments de droit Présentation générale 27/01/10 30/06/10 10
    • Commission Open Source Retours d’expériences Maitre Pascal Agosti, Cabinet Caprioli&Associés authentification et éléments de droit Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue
    • Présentation De Janua ● Société de services en logiciels libres (SS2L) et éditeur fondée en 2004 à Sophia Antipolis ● Notre métier : l'expertise ● Notre crédo : l'Open Source ● Notre force : les hommes, leur vécu et leur motivation ● Notre approche : l'Open Source et gestion des identités numériques. ● Développement au forfait à l'aide de méthodologies "agiles", les solutions packagées et les maquettes (POC).
    • Les compétences de Janua • Consulting, implémentations et déploiement de solutions de gestion d'identités (provisioning, workflows, synchronisation, SPML v2, audit et conformité), de contrôle d'accès et gestion des droits (SSO, CDSSO, eSSO, fédération, authentification forte, PKI, délégation d'administration). • Expertise en annuaires LDAP (OpenLDAP, Sun DSEE, OpenDS, Red Hat directory server) et besoins connexes comme la gestion de contenu ou les interfaces d'accès aux annuaires. • Etudes d'opportunités et accompagnement à la migration Open Source, déploiement de solutions d'infrastructures. • Développement au forfait, assistance technique et expertise sur des composants Open Source, embarqués et temps réel, portage Android. • Consulting Réseaux et Sécurité, expertise base de données, cluster et virtualisation. • Editeur des logiciels LDAPTools, Jaguards, KressourcesWCAP, EZslony et CMakeBuilder
    • Retour d'expèrience CAS Client 1 : Utilisation de la couche OpenID pour l'authentification dans un logiciel de sécurisation « end-point » entrée de gamme. * Utilisation de la stack du client pour la gestion des droits * Utilisation de OpenID pour réaliser les opérations d'authentification CAS Client 2 : Utilisation de OpenID pour l'authentification dans un logiciel de widgets de bureaux pour se rapprocher d'un contexte SSO. * Utilisation de OpenID pour réaliser les opérations d'authentification. * Mutualisation de l'authentification au travers de tout le framework de widgets
    • Mise en œuvre de OpenID • De nombreuses APIs Disponibles pour divers langages de programmation • parmi lesquelles : •JAVA : OpenID 4 Java •PHP 4/5 : Php-OpenID •DotNet : DotNet OpenAuth
    • Schéma d'authentification Response OpenID « Provider » Request OpenID «Client» Base de donnée « Pivot »
    • Base de donnée « pivot » Aucun mot de passe stocké par l'application « cliente »
    • Implémentation en Java Requête D'authentification
    • Implémentation en Java Validation de la réponse
    • Implémentation en PHP Requête d'authentification
    • Implémentation en PHP Validation de la réponse
    • Avantages et inconvénients • Une intégration très facile dans toute application Web •JAVA, PHP, DotNet •Limité à l'authentification pure •l'identité est maintenue par le client et n'est donc pas garantie •pas de gestion de droits •100% Web-Based
    • Commission Open Source Retours d’expériences Maitre Pascal Agosti, Cabinet Caprioli&Associés authentification et éléments de droit Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue
    • Commission Open Source Une autorité de certification peu connue F.Peyraud - Tryphon
    • Commission Open Source Agenda • Who am I • PKI : What is it ? What for ? • PKI : components • Certification Authorities • CAcert, charter and concept • CAcert, Pros and Cons • One step beyond with CAcert !
    • Commission Open Source Who am I ? • Florent Peyraud • Co-founder of Tryphon SARL – Appliances, training and consulting – Web applications, RoR – Strong focus on radio stations • Ex-president of Linux Azur • Engineer in Electronics and Radio Freq.
    • Commission Open Source PKI : What is it ? What for ? • Public Key Infrastructure – Asymetrical cryptography – Certificates • Roles – Confidentiality – Authentication – Integrity – Non repudiation
    • Commission Open Source PKI : components • EE : End Entity, user • RA : Registration Authority • CA : Certification Authority • Repository : CERTs and CRLs • KE : Key Escrow
    • Commission Open Source Certification Authorities • Commercial – Thawte, Verisign, Gandi... • Free – Gandi (1 year), Verisign (60 days) – CAcert (community based) – Yourself !
    • Commission Open Source CAcert : charter and concept • CAcert is a certification authority • It has all the elements of a commercial CA • Rely on community for : – Spreading – Build a web of trust • Assurers, members • System of assurance points • System of assurer's experience points
    • Commission Open Source CAcert, Pros and Cons • PROS • CONS – Potentially as secure – Not integrated in as a commercial CA browsers' CA list by – Freely available default yet certificates – No monetary guaranty – Wolrdwide community in case if incident makes a strong confidence
    • Commission Open Source One step beyond with CAcert ! • Become a member • Get assured • Become an assurer • Start using CAcert signed certificates ! • Help making CAcert Root Certificate being integrated in all main browsers www.cacert.org