OpenSSO
Alain Barbier
Architecte
Sun Microsystems France

OpenSSO
Contrôle d'accès Web
Fédération
Sécurisation des
Web Services
Services d'identité

Un seul produit pour résoudre tous les problèmes de SSO
Contrôle d'accès web, Fédération et sécurisation des web services

OpenSSO
Contrôle d'accès web

Principes de fonctionnement
WebSSO

OpenSSO
Les flux

SSO et contrôle d'accès
Authentification
• Framework d'authentification extensible basé sur JAAS
• Support de multiples modules d'authentifications
> LDAP, RADIUS, Certificate, SafeWord, RSA SecureID, Unix,
Windows NT, WindowsDesktopSSO (Kerberos), Anonymous,
Membership (self-enrollment)
> SPI pour intégrer/développer des modules d'authentifications
spécifiques ``
• Authentification multi-facteurs (Chaînage)
• Multi-niveaux et Multi-schémas
• Authentification par ressource
> Utilisateur, realm, service, module, niveau
• Notion de royaumes

SSO et contrôle d'accès
Autorisation
• Policy = Règles + Sujets + Conditions +
Response Provider
> Règle – La ressource à protéger (e.g. URL)
> Sujet – Celui qui est autorisé à accéder à la
ressource (User/Role/Group etc.)
> Condition – Contraintes supplémentaires (IP
Address mask, authN level/scheme, time/day
etc.)
> Response Provider – Données additionnelles à
envoyer à la ressource.

Installation et configuration
• Support d'un éventail plus important de systèmes
d'exploitation (Solaris, Linux, Windows, AIX et Ubuntu)
• Plus de conteneurs web (Sun WS, Sun AS, Weblogic,
WebSphere, Oracle Application Server, Jboss, Tomcat,
Geronimo)
• Déploiement avec un seul war
• Plusieurs configurations pré-définies (Wizard)
• Processus de fédération simplifié
> Echange des métadonnées (fichiers/réseau)
> Test SSO, SLO

Contrôle d'accès : les nouveautés
• Référentiel de configuration embarqué (basé sur
OpenDS)
• Plus de référentiels utilisateurs supportés (Sun DS,
AD, IBM DS, LDAP v3)
• Gestion des configurations centralisée
• Gestion des agents centralisée
• Nouvelle interface CLI (famadm)

Gestion centralisée des agents 3.0

Architecture

Exemple de déploiement

OpenSSO
Fédération
Les principes

Multiples comptes : une identité

Cercle de confiances

Association de comptes

La terminologie
• Principal
> Identifiant de l'utilisateur dans un contexte
d'authentification
• Fédération/Défédération (clé de fédération)
> Opt in account linking, auto-fédération, bulk federation
• Authentification unique (Single Sign On)
• Déconnexion globale (Single Log Out)
• “Pseudonymat”/Anonymat
• Contexte d'authentification
• Echange de méta données

Fédération : la convergence

Flux de Fédération (SAML2 pull http redirect)

OpenSSO
Fédération
Le produit

OpenSSO : Fédération
• Fedlet : Création d'un modèle de service provider SAML2
configuré et intégré en quelques minutes
• Hub de fédération multi-protocoles : Intégration d'un SP
indépendamment de son \"langage de fédération\"
• Proxy de fédération virtuel : Utilisation des protocoles de
fédération pour le transport sécurisé d'attributs d'applications
legacy
• Support des standards majeurs tels que SAML, WS-
Federation, Liberty ID-FF, WS-Trust, WS-Security et WS-
Policy
• Consomme et traduit les jetons des solutions WAM les plus
répandues

Fédération
• WS-Federation
> WS Fed Passive Requestor Interoperability Profile (http)
> Interopérabilité ADFS
• Profil XACML SAML2
• Plus de profils SAML2
> AttributeQuery/Response, AuthnQuery/Response
> IDP proxying, ECP/proxy
• Secure Attributes Exchange
• Multiple Federation Protocol HUB (SSO/SLO)
> SAML2, ID-FF, WS-FED

OpenSSO
Sécurité Web Services
Les principes

Sécurité Web Services
Besoins
Identification de l'utilisateur
Préserver l'identité
Préserver l'intégrité et l'anonymat
Utilisation des technologies existantes
Audit

Sécurité Web Services
Problèmes
La sécurité du protocole est
essentielle mais insuffisante
Seulement du point à point.
Pas de non-répudiation
Pas de sécurité hors protocole
Pas d'élément du message signé &
encrypté

Modèle Web Service Typique

Sécurisation du transport
●
Protection limitée au point à point
● Nécessité de protéger au niveau message

Sécurisation Web Services

OpenSSO
Sécurité Web Services
Les fonctions

Identity Services et sécurité Web
Services
• Identity Services
• Security Token Service (STS)
• Sécurité Web Services (API, Framework, Plug-ins)

Sécurité web services : Trois
modèles
• JSR 196 plug-ins
> Intégration en tant que filtre sur les serveurs
d'applications
• Identity Services
> Interfaces wsdl/REST pour
– Authentification
– Autorisation
– Attributs
– Logging
• Framework et standards
> Liberty Alliance (ID-WSF), WS-*

OpenSSO : Agents Web Services
(JSR 196)
• Problème:
> Comment mettre en place la sécurisation de web WSS Agent
services dans des conteneurs différents sans OpenSSO clientsdk 4
modifier l'application ? Web Service
Provider
• Le processus
SOAP 3 5
> Fournit un agent qui est déployé sur le conteneur (WSS)
pour consommer, valider et transformer les jetons 2 Serveur
de sécurité. WSS Agent OpenSSO
> Abstraction de la sécurité par rapport à l'application OpenSSO clientsdk
(orthogonalité).
> Un agent WSS permet de standardiser la sécurité Web Service
indépendemment du conteneur (e.g. Sun, IBM, Client
BEA etc.)
– Implémenter une extension d'authentification 1 Requête/Réponse
intégrée au conteneur (JSR 196)
– Sécurisation des requêtes SOAP et validation des
réponses par le WSC.
– Validation des requêtes SOAP et sécurisation des
réponses par le WSP.

Secure Token Service (STS)
• Problème :
> Comment un Web service vérifie l'identité présentée
par une application cliente ?
• Le processus Web Service
Provider
> Un web service client nécessite un jeton authentifié Issue Token
pour accéder à un web service serveur. SOAP 3 (WS-Trust)
(WSS)
> Le STS vérifie l'identité présentée par le client et 2
génère un jeton de sécurité qui prouve que le client a
été authentifié par le STS.
> Le client présente le jeton WS-I BSP (User Name,
X.509, SAML etc.) au Web service serveur. Web Service Security Token
> Le Web service serveur vérifie que le jeton a été Client Service
généré par un STS de confiance, qui prouve que le
client a été authentifié par le STS. 1 Requête/Réponse

Identity Services
• Permettre aux développeurs
d'invoquer les services
d'OpenSSO.
• Disponible sous la forme d'un
ensemble de Web Services
accessibles via SOAP et REST.
`
• Solution sans agent qui ne
nécessite pas le déploiement
d'un agent ou d'un proxy pour
protéger la ressource.
• Supporte les IDE courants.

Identity Services disponibles
Authentification Autorisation
Vérification des credentials Permission d'accès à une
authenticate (username, ressource pour un utilisateur
password, uri) => Token authentifié.
authorize (Resource, Action,
Token) => boolean
Attributs Audit
Sélection d'attributs d'un Capacité d'auditer et
utilisateur authentifié. d'enregistrer une opération.
attributes(List attrNames, log (AppToken, Token,
Token) => UserDetails Logname, Message)

OpenSSO
Intégration produits externes

Intégration produits
• OpenSSO + CA SiteMinder (SSO, Fédération SAML2)
• OpenSSO + Oracle Access Manager (SSO,
Fédération SAML2)

Intégration SiteMinder WebSSO
• SiteMinder existant
• Acquisition
• Intégration avec
l'authentification
SiteMinder
• OpenSSO transparent
• Auth Module Siteminder
sur OpenSSO

Intégration SiteMinder Fédération IDP
• SiteMinder existant
sur l'IDP
• Intégration avec
authentification sur
SiteMinder (IDP)
• OpenSSO sur SP
• Auth Module
SiteMinder sur
OpenSSO
• Agent SiteMinder sur
OpenSSO

OpenSSO
Les extensions

Quelques extensions
• OpenID 1.1
• SAML 2.0 Ruby Relying Party
• PHP Client SDK for OpenSSO
• ActivIdentity 4TRESS
• Information Card Relying Party
• Spring Security (Acegi)
• ...

OpenSSO
Pour aller plus loin

Les liens
> Site OpenSSO
1 https://opensso.dev.java.net
> Participer
2 bigadmin.com | developers.sun.com/identity
3 > Formation
sun.com/training
> Data Sheets et White Papers
4 sun.com/identity
> Documentation OpenSSO
5 http://docs.sun.com/
6

Merci.
Alain Barbier
alain.barbier@sun.com