OpenSSO Aquarium Paris

OpenSSO Alain Barbier Architecte Sun Microsystems France

OpenSSO Contrôle d'accès Web Fédération Sécurisation des Web Services Services d'identité

Un seul produit pour résoudre tous les problèmes de SSO Contrôle d'accès web, Fédération et sécurisation des web services

OpenSSO Contrôle d'accès web

Principes de fonctionnement WebSSO

OpenSSO Les flux

SSO et contrôle d'accès Authentification • Framework d'authentification extensible basé sur JAAS • Support de multiples modules d'authentifications > LDAP, RADIUS, Certificate, SafeWord, RSA SecureID, Unix, Windows NT, WindowsDesktopSSO (Kerberos), Anonymous, Membership (self-enrollment) > SPI pour intégrer/développer des modules d'authentifications spécifiques `` • Authentification multi-facteurs (Chaînage) • Multi-niveaux et Multi-schémas • Authentification par ressource > Utilisateur, realm, service, module, niveau • Notion de royaumes

SSO et contrôle d'accès Autorisation • Policy = Règles + Sujets + Conditions + Response Provider > Règle – La ressource à protéger (e.g. URL) > Sujet – Celui qui est autorisé à accéder à la ressource (User/Role/Group etc.) > Condition – Contraintes supplémentaires (IP Address mask, authN level/scheme, time/day etc.) > Response Provider – Données additionnelles à envoyer à la ressource.

Installation et configuration • Support d'un éventail plus important de systèmes d'exploitation (Solaris, Linux, Windows, AIX et Ubuntu) • Plus de conteneurs web (Sun WS, Sun AS, Weblogic, WebSphere, Oracle Application Server, Jboss, Tomcat, Geronimo) • Déploiement avec un seul war • Plusieurs configurations pré-définies (Wizard) • Processus de fédération simplifié > Echange des métadonnées (fichiers/réseau) > Test SSO, SLO

Contrôle d'accès : les nouveautés • Référentiel de configuration embarqué (basé sur OpenDS) • Plus de référentiels utilisateurs supportés (Sun DS, AD, IBM DS, LDAP v3) • Gestion des configurations centralisée • Gestion des agents centralisée • Nouvelle interface CLI (famadm)

Gestion centralisée des agents 3.0

Architecture

Exemple de déploiement

OpenSSO Fédération Les principes

Multiples comptes : une identité

Cercle de confiances

Association de comptes

La terminologie • Principal > Identifiant de l'utilisateur dans un contexte d'authentification • Fédération/Défédération (clé de fédération) > Opt in account linking, auto-fédération, bulk federation • Authentification unique (Single Sign On) • Déconnexion globale (Single Log Out) • “Pseudonymat”/Anonymat • Contexte d'authentification • Echange de méta données

Fédération : la convergence

Flux de Fédération (SAML2 pull http redirect)

OpenSSO Fédération Le produit

OpenSSO : Fédération • Fedlet : Création d'un modèle de service provider SAML2 configuré et intégré en quelques minutes • Hub de fédération multi-protocoles : Intégration d'un SP indépendamment de son quot;langage de fédérationquot; • Proxy de fédération virtuel : Utilisation des protocoles de fédération pour le transport sécurisé d'attributs d'applications legacy • Support des standards majeurs tels que SAML, WS- Federation, Liberty ID-FF, WS-Trust, WS-Security et WS- Policy • Consomme et traduit les jetons des solutions WAM les plus répandues

Fédération • WS-Federation > WS Fed Passive Requestor Interoperability Profile (http) > Interopérabilité ADFS • Profil XACML SAML2 • Plus de profils SAML2 > AttributeQuery/Response, AuthnQuery/Response > IDP proxying, ECP/proxy • Secure Attributes Exchange • Multiple Federation Protocol HUB (SSO/SLO) > SAML2, ID-FF, WS-FED

OpenSSO Sécurité Web Services Les principes

Sécurité Web Services Besoins Identification de l'utilisateur Préserver l'identité Préserver l'intégrité et l'anonymat Utilisation des technologies existantes Audit

Sécurité Web Services Problèmes La sécurité du protocole est essentielle mais insuffisante Seulement du point à point. Pas de non-répudiation Pas de sécurité hors protocole Pas d'élément du message signé & encrypté

Modèle Web Service Typique

Sécurisation du transport ● Protection limitée au point à point ● Nécessité de protéger au niveau message

Sécurisation Web Services

OpenSSO Sécurité Web Services Les fonctions

Identity Services et sécurité Web Services • Identity Services • Security Token Service (STS) • Sécurité Web Services (API, Framework, Plug-ins)

Sécurité web services : Trois modèles • JSR 196 plug-ins > Intégration en tant que filtre sur les serveurs d'applications • Identity Services > Interfaces wsdl/REST pour – Authentification – Autorisation – Attributs – Logging • Framework et standards > Liberty Alliance (ID-WSF), WS-*

OpenSSO : Agents Web Services (JSR 196) • Problème: > Comment mettre en place la sécurisation de web WSS Agent services dans des conteneurs différents sans OpenSSO clientsdk 4 modifier l'application ? Web Service Provider • Le processus SOAP 3 5 > Fournit un agent qui est déployé sur le conteneur (WSS) pour consommer, valider et transformer les jetons 2 Serveur de sécurité. WSS Agent OpenSSO > Abstraction de la sécurité par rapport à l'application OpenSSO clientsdk (orthogonalité). > Un agent WSS permet de standardiser la sécurité Web Service indépendemment du conteneur (e.g. Sun, IBM, Client BEA etc.) – Implémenter une extension d'authentification 1 Requête/Réponse intégrée au conteneur (JSR 196) – Sécurisation des requêtes SOAP et validation des réponses par le WSC. – Validation des requêtes SOAP et sécurisation des réponses par le WSP.

Secure Token Service (STS) • Problème : > Comment un Web service vérifie l'identité présentée par une application cliente ? • Le processus Web Service Provider > Un web service client nécessite un jeton authentifié Issue Token pour accéder à un web service serveur. SOAP 3 (WS-Trust) (WSS) > Le STS vérifie l'identité présentée par le client et 2 génère un jeton de sécurité qui prouve que le client a été authentifié par le STS. > Le client présente le jeton WS-I BSP (User Name, X.509, SAML etc.) au Web service serveur. Web Service Security Token > Le Web service serveur vérifie que le jeton a été Client Service généré par un STS de confiance, qui prouve que le client a été authentifié par le STS. 1 Requête/Réponse

Identity Services • Permettre aux développeurs d'invoquer les services d'OpenSSO. • Disponible sous la forme d'un ensemble de Web Services accessibles via SOAP et REST. ` • Solution sans agent qui ne nécessite pas le déploiement d'un agent ou d'un proxy pour protéger la ressource. • Supporte les IDE courants.

Identity Services disponibles Authentification Autorisation Vérification des credentials Permission d'accès à une authenticate (username, ressource pour un utilisateur password, uri) => Token authentifié. authorize (Resource, Action, Token) => boolean Attributs Audit Sélection d'attributs d'un Capacité d'auditer et utilisateur authentifié. d'enregistrer une opération. attributes(List attrNames, log (AppToken, Token, Token) => UserDetails Logname, Message)

OpenSSO Intégration produits externes

Intégration produits • OpenSSO + CA SiteMinder (SSO, Fédération SAML2) • OpenSSO + Oracle Access Manager (SSO, Fédération SAML2)

Intégration SiteMinder WebSSO • SiteMinder existant • Acquisition • Intégration avec l'authentification SiteMinder • OpenSSO transparent • Auth Module Siteminder sur OpenSSO

Intégration SiteMinder Fédération IDP • SiteMinder existant sur l'IDP • Intégration avec authentification sur SiteMinder (IDP) • OpenSSO sur SP • Auth Module SiteMinder sur OpenSSO • Agent SiteMinder sur OpenSSO

OpenSSO Les extensions

Quelques extensions • OpenID 1.1 • SAML 2.0 Ruby Relying Party • PHP Client SDK for OpenSSO • ActivIdentity 4TRESS • Information Card Relying Party • Spring Security (Acegi) • ...

OpenSSO Pour aller plus loin

Les liens > Site OpenSSO 1 https://opensso.dev.java.net > Participer 2 bigadmin.com | developers.sun.com/identity 3 > Formation sun.com/training > Data Sheets et White Papers 4 sun.com/identity > Documentation OpenSSO 5 http://docs.sun.com/ 6

Merci. Alain Barbier alain.barbier@sun.com

http://blogs.sun.com	39
http://www.slideshare.net	14
http://static.slidesharecdn.com	2
http://blog.tadiavo.com	1
http://localhost	1

OpenSSO Aquarium Paris

by Alexis Moussine-Pouchkine on Dec 17, 2008

Accessibility

Categories

Upload Details

Usage Rights

5 Embeds 57

Statistics

OpenSSO Aquarium Paris Presentation Transcript