Rencontres Mondiales du Logiciel Libre 2009



       Présentation du WebSSO
           LemonLDAP::NG

           Clément ...
Menu du jour

Concepts du WebSSO
Le logiciel LemonLDAP::NG
Nouveautés de la version 0.9.4
Démonstration




              ...
Définition du WebSSO

SSO signifie « Single Sign On », qui peut se
traduire en français par « authentification unique »
Le...
SSO par agent




                   10 juillet 2009
4        http://lemonldap.ow2.org
SSO par délégation




                        10 juillet 2009
5             http://lemonldap.ow2.org
SSO par mandataire inverse




                                10 juillet 2009
6                     http://lemonldap.ow2....
Le protocole HTTP



              GET http://lemonldap.ow2.org HTTP/1.1
              Accept: text/html
              Use...
Présentation de LemonLDAP::NG

LemonLDAP::NG est un logiciel libre (licence
GPL) hébergé chez OW2 :
http://lemonldap.ow2.o...
Architecture




                 10 juillet 2009
9      http://lemonldap.ow2.org
Principe

L'implémentation par défaut utilise un annuaire
LDAP pour :
authentifier l'utilisateur (vérification du mot de p...
Fonctionnement général




                             10 juillet 2009
11                 http://lemonldap.ow2.org
Gestion des sessions

Utilisation de n'importe quel module
 Apache::Session pour le stockage (File, DBI,
 LDAP, Memcached,...
Règles d'accès

Les règles d'accès sont des expressions Perl
Elles peuvent être appliquées sur tout ou partie
  d'une appl...
Règles d'accès

Accès pour tous les utilisateurs authentifiés :
  Default => accept
Accès pour le groupe « admin » :
  Def...
Hôtes virtuels

La distinction des applications est basée sur la
 notion d'hôtes virtuels
Les hôtes virtuels peuvent être ...
Applications nativement compatibles




                                         10 juillet 2009
16                       ...
Autres applications compatibles

Applications reposant sur la sécurité Apache
 (.htaccess) : Nagios, ...
Applications repo...
Nouveautés de la version 0.9.4

Utilisation de LDAP possible pour le stockage de
 la configuration et des sessions
Réécrit...
Nouveautés de la 0.9.4

Séparation des modules d'authentification, de
 données utilisateur et de mots de passe
Gestion com...
Feuille de route

Refonte de l'interface d'administration
Validation du formulaire d'authentification pour
 les applicatio...
Démonstration




                               10 juillet 2009
21                   http://lemonldap.ow2.org
Upcoming SlideShare
Loading in …5
×

RMLL 2009 - Présentation du WebSSO LemonLDAP::NG

1,030
-1

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,030
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

RMLL 2009 - Présentation du WebSSO LemonLDAP::NG

  1. 1. Rencontres Mondiales du Logiciel Libre 2009 Présentation du WebSSO LemonLDAP::NG Clément OUDOT
  2. 2. Menu du jour Concepts du WebSSO Le logiciel LemonLDAP::NG Nouveautés de la version 0.9.4 Démonstration 10 juillet 2009 2 http://lemonldap.ow2.org
  3. 3. Définition du WebSSO SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique » Le SSO est souvent accompagné de certaines fonctionnalités : Politique de mot de passe centralisée Transmission transparente des informations de session aux applications Gestion des profils applicatifs, c'est-à-dire qui accède à quoi 10 juillet 2009 3 http://lemonldap.ow2.org
  4. 4. SSO par agent 10 juillet 2009 4 http://lemonldap.ow2.org
  5. 5. SSO par délégation 10 juillet 2009 5 http://lemonldap.ow2.org
  6. 6. SSO par mandataire inverse 10 juillet 2009 6 http://lemonldap.ow2.org
  7. 7. Le protocole HTTP GET http://lemonldap.ow2.org HTTP/1.1 Accept: text/html User-Agent: Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.6) HTTP/1.1 200 OK Date: Thu, 13 Mar 2008 15:05:29 GMT Server: Apache Content-Length: 264 Content-Type: text/html; charset=iso-8859-1 <?xml version="1.0" encoding="iso-8859-1" ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr" dir="ltr"> <head> <title>LemonLDAP::NG Homepage</title> .... </html> 10 juillet 2009 7 http://lemonldap.ow2.org
  8. 8. Présentation de LemonLDAP::NG LemonLDAP::NG est un logiciel libre (licence GPL) hébergé chez OW2 : http://lemonldap.ow2.org Développé à l'origine par Xavier GUIMARD pour les besoins de la Gendarmerie Nationale Produit basé sur Apache et mod_perl, entièrement écrit en Perl (moteur et interfaces) Fournit un portail d'accès dynamique et une interface d'administration 10 juillet 2009 8 http://lemonldap.ow2.org
  9. 9. Architecture 10 juillet 2009 9 http://lemonldap.ow2.org
  10. 10. Principe L'implémentation par défaut utilise un annuaire LDAP pour : authentifier l'utilisateur (vérification du mot de passe) effectuer un contrôle d'accès (selon les attributs LDAP de l'utilisateur) approvisionner les applications (par transmission des attributs LDAP dans les en-têtes HTTP) permettre à l'utilisateur de changer son mot de passe 10 juillet 2009 10 http://lemonldap.ow2.org
  11. 11. Fonctionnement général 10 juillet 2009 11 http://lemonldap.ow2.org
  12. 12. Gestion des sessions Utilisation de n'importe quel module Apache::Session pour le stockage (File, DBI, LDAP, Memcached, ...) Inscription du numéro de session dans un cookie temporaire (non écrit sur disque) avec le choix : Cookie non-sécurisé Cookie sécurisé (HTTPS uniquement) Double cookie Durée de vie des sessions configurable 10 juillet 2009 12 http://lemonldap.ow2.org
  13. 13. Règles d'accès Les règles d'accès sont des expressions Perl Elles peuvent être appliquées sur tout ou partie d'une application protégée (utilisation d'expressions régulières sur les URL) Tous les attributs exportés lors de l'authentification sont disponibles dans les règles Un système de macros permet de stocker des valeurs calculées en session 10 juillet 2009 13 http://lemonldap.ow2.org
  14. 14. Règles d'accès Accès pour tous les utilisateurs authentifiés : Default => accept Accès pour le groupe « admin » : Default => $groups =~ /admin/ Accès aux mp3 pour l'utilisateur HADOPI : ^/*.mp3 => $uid eq "HADOPI" Interception du logout de l'application ^/logout.php => logout_sso 10 juillet 2009 14 http://lemonldap.ow2.org
  15. 15. Hôtes virtuels La distinction des applications est basée sur la notion d'hôtes virtuels Les hôtes virtuels peuvent être répartis sur plusieurs serveurs Apache Chaque hôte virtuel possède : Des règles d'accès Des en-têtes HTTP Les en-têtes HTTP contiennent également des expressions Perl 10 juillet 2009 15 http://lemonldap.ow2.org
  16. 16. Applications nativement compatibles 10 juillet 2009 16 http://lemonldap.ow2.org
  17. 17. Autres applications compatibles Applications reposant sur la sécurité Apache (.htaccess) : Nagios, ... Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe, ... Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ... Applications compatibles SiteMinder 10 juillet 2009 17 http://lemonldap.ow2.org
  18. 18. Nouveautés de la version 0.9.4 Utilisation de LDAP possible pour le stockage de la configuration et des sessions Réécriture complète des fonctions SOAP : le portail est directement un point d'accès SOAP Système de notifications Nouvelles fonctions disponibles dans les règles d'accès pour vérifier les dates, les jours et les heures de connexion autorisés L'adresse du portail peut être dynamique 10 juillet 2009 18 http://lemonldap.ow2.org
  19. 19. Nouveautés de la 0.9.4 Séparation des modules d'authentification, de données utilisateur et de mots de passe Gestion complète de la politique des mots de passe LDAP Configuration simplifiée du cross-domain 10 juillet 2009 19 http://lemonldap.ow2.org
  20. 20. Feuille de route Refonte de l'interface d'administration Validation du formulaire d'authentification pour les applications fermées Portefeuille de comptes pour les applications fermées Support SAML2 complet (fournisseur d'identités et fournisseur de service) 10 juillet 2009 20 http://lemonldap.ow2.org
  21. 21. Démonstration 10 juillet 2009 21 http://lemonldap.ow2.org
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×