• Save
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'identité et de sécurité de LINAGORA !
Upcoming SlideShare
Loading in...5
×
 

Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'identité et de sécurité de LINAGORA !

on

  • 1,891 views

 

Statistics

Views

Total Views
1,891
Views on SlideShare
1,890
Embed Views
1

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 1

https://duckduckgo.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'identité et de sécurité de LINAGORA ! Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'identité et de sécurité de LINAGORA ! Presentation Transcript

  • SEMINAIRE Les solutions Open Source d'Identité et de Sécurité de Linagora Sébastien BAHLOUL sbahloul@linagora.com Daniel FAGES dfages@linagora.com Clément OUDOT coudot@linagora.com
  • Agenda ● Présentation LINAGORA ● LinID: ● Gestion avancée des données de votre annuaire d'entreprise (LinID Directory Manager) ● Quand SAML révolutionne le SSO (LinID Federation Manager) ● LinPKI: ● Simplifiez-vous la gestion des certificats avec LinRA ● Découvrez LinSecure, la plateforme Open Source de coffre fort pour jeu en ligne
  • LINAGORA Mission : Logiciels et services Open Schéma Directeur source pour réussir les grands projets Open Source du libre Fondée : Mai 2000 Support Capital: Capital privé OSSA Intégration, Expertise Hosting Migration, Formation... (principalement détenu par les fondateurs) Nombre d'ingénieurs : 150 Nos principaux clients CAGR : +73% 14 M€ 11 M€ 10 M€ 8 M€ 4 M€ 2006 2007 2008 2009 2010 Évolution CA
  • Les métiers de Linagora
  • LinID Directory Manager Sébastien BAHLOUL sbahloul@linagora.com Séminaire septembre 2010 « Les solutions Open Source d'Identité et de Sécurité de LINAGORA ! »
  • LinID Directory Manager Principe : progiciel de gestion d'annuaire Modules : ● Affichage, modification, création, suppression ● Association, gestion de groupe ● Délégation, workflow ● Recherches avancées et organigrammes Adaptabilité : ● Schéma de données ● Contrôle d'accès
  • Fonctionnalités avancées ● Support de l'overlay ppolicy d'OpenLDAP concernant concernant la politique de gestion des mots de passe, activation / désactivation de compte, forçage du changement de mot de passe à la connection, ... ● Support de l'overlay memberof d'OpenLDAP ● Intégration avec un WebSSO ● Intégration de Google Maps
  • Personnalisation
  • Thématisation graphique simple
  • Thématisation graphique simple
  • Vision d'ensemble Interface de gestion de contenu Population d'administrateurs Application A Annuaire LDAP central Source de Application B données Active Directory Légende : Traitement automatisé de synchronisation de données Traitement manuel de manipulation de données
  • Informations complémentaires ● Fonctionne sur un annuaire LDAPv3 (OpenLDAP, Sun / RedHat Directory Server, Apache Directory, …) ● Compatible avec les systèmes de SSO courants (LemonLDAP::NG, CAS, …) ● N'importe quel serveur d'application J2EE (Tomcat, Jetty, JBoss, …) ● Licence : Affero GPL v3
  • Références ● LinID Directory Manager Manager Min. Défense Armée de Terre - MAAT
  • Quand SAML2 révolutionne le SSO Clément OUDOT coudot@linagora.com Séminaire septembre 2010 « Les solutions Open Source d'Identité et de Sécurité de LINAGORA ! »
  • SOMMAIRE ● Présentation du WebSSO ● Le protocole SAML2 ● Fonctionnement de LemonLDAP::NG ● Support du SAML2 et autres nouveautés
  • Le WebSSO ● SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique » ● Le WebSSO se consacre à l'authentification unique pour les applications Web, c'est-à-dire des applications client-serveur dont le client est un navigateur Web (IE, Firefox, etc.) ● Le principe de base est d'intercepter les requêtes entre le client et le serveur, et indiquer au serveur que le client est bien authentifié ● Techniquement, cela repose essentiellement sur la gestion d'une session SSO stockée au niveau du serveur WebSSO et liée à un cookie dans le navigateur de l'utilisateur ● Deux architectures complémentaires existent : ● WebSSO par délégation ● WebSSO par mandataire inverse
  • SSO par délégation
  • SSO par mandataire inverse
  • Autres fonctionnalités ● Le rôle standard du WebSSO est de propager l'authentification sur des applications Web ● En supplément, ces fonctionnalités sont souvent présentes dans les produits de WebSSO : ● Contrôle d'accès aux applications (qui a accès à quoi) ● Transfert d'informations complémentaires à l'identifiant de l'utilisateur (nom, mails, etc.) ● Gestion du mot de passe (interface de changement de mot de passe, réinitialisation, etc.)
  • Le protocole SAML ● SAML est un protocole destiné à la fédération d'identités ● La fédération d'identités a pour objectif de lier des fournisseurs de services (SP) et des fournisseurs d'identités au sein d'un ou plusieurs cercle de confiance (CoT) ● SAML c'est du SSO, mais aussi : ● Du SLO (Single Logout) ● Du partage d'attributs ● De l'autorisation (point de décision) ● ... ● Les standards d'origine SAML1, Liberty Alliance et Shibboleth convergent aujourd'hui vers SAML2
  • Concepts SAML
  • Concepts SAML ● Communication indirecte entre le SP et l'IDP via le navigateur de l'utilisateur avec différentes méthodes possibles : ● HTTP-Redirect ● HTTP-POST ● HTTP-Artifact (GET et POST) ● Communication directe entre le SP et l'IDP par SOAP ● Gestion de la sécurité des messages par XMLsec ● Possibilité de recherche des IDP par cookie de domaine commun (Common Domain Cookie) ● Gestion d'identifiants persistants, temporaires, ou lié à une donnée (mail par exemple) ● Gestion des contextes d'authentifications et de leur hiérarchie
  • Présentation de LemonLDAP::NG ● LemonLDAP::NG est un logiciel libre (licence GPL) hébergé chez OW2 : http://lemonldap.ow2.org ● Développé à l'origine par Xavier GUIMARD pour les besoins de la Gendarmerie Nationale ● Produit basé sur Apache et mod_perl, entièrement écrit en Perl (moteur et interfaces) ● Fournit un portail d'accès dynamique et une interface d'administration
  • Portail d'authentification
  • Interface d'administration
  • Fonctionnement général
  • Applications compatibles
  • Autres applications compatibles ● Applications reposant sur la sécurité Apache (.htaccess) : Nagios, ... ● Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe, ... ● Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ... ● Applications compatibles SiteMinder
  • Exemple d'utilisation de SAML2
  • Les autres nouveautés de la future version 1.0 ● Fournisseur SAML2, CAS et OpenID ● Choix d'authentification : plusieurs modes peuvent être proposés à l'utilisateur (par exemple authentification LDAP ou OpenID) ● Configuration complète dans l'interface graphique ● Choix des thèmes du portail ● Handlers pour Sympa et Zimbra ● Auto-validation de formulaires ● Recherche récursive dans les groupes LDAP ● ...
  • Simplifiez vous la gestion des certificats avec LinRA Daniel FAGES dfages@linagora.com Séminaire septembre 2010 « Les solutions Open Source d'Identité et de Sécurité de LINAGORA ! »
  • LinRA LinRA est un produit qui remplit la fonction d'autorité d'enregistrement et qui permet de gérer le cycle de vie des certificats des utilisateurs à très grande échelle, de façons sécurisée et aisée pour tous les publics
  • LinRA – Autorité d'enregistrement En tant qu'autorité d'enregistrement, les fonctions suivantes sont assurées : ● Gestion des demandes de certification ● Approbation ou refus des demandes de certification ● Demande en ligne d'un certificat par l'opérateur ● Recherche et récupération de certificats ● Statistique/Reporting/Facturation ● Renouvellement automatisé des AC ● Gestion des demandes de révocation
  • LinRA – Gestion par l'utilisateur L'utilisateur final peut gérer lui-même le cycle de vie de son certificat : ● Initialisation du compte ● Demande et retrait du certificat ● Visualisation de son certificat ● Révocation du certificat ● Demande de dépannage (perte du certificat avec oubli des réponses d'identification)
  • LinRA – Fonctions avancées LinRA assure les fonctions suivantes : ● Gestion des demandes de recouvrement par l'utilisateur final, possiblement approuvées par un administrateur ● Séquestre possible des clés privées des utilisateurs (pour clés de chiffrement notamment) – possibilité d'imposer l'approbation de n administrateurs pour autoriser le recouvrement ● Utilisation du moteur de workflow JBPM pour la description des process
  • LINRA – Exemple d'architecture
  • LINRA - Prérequis ● OS : Linux, Sun Solaris 10, Windows ● Serveur d'applications : Tomcat, Jboss (v4 mini), Glassfish ● Base de données : Mysql, PostgreSQL ● Navigateur Web : Firefox (v1.5 et supérieur), Internet Explorer (5.5 et supérieur pour les utilisateurs finaux ; 6.0 et supérieur pour les opérateurs)
  • LinRA - Démo Démonstration
  • Présentation de l'offre « LinSecure » L'Open Source au service des jeux en ligne Sébastien BAHLOUL sbahloul@linagora.com
  • Notre offre dans le domaine de la sécurité
  • Le contexte réglementaire Les objectifs de la loi sur le jeu en ligne • La protection du joueur • L’intégrité la sécurité, la fiabilité et la transparence des jeux • Le lutte contre la fraude et le blanchiment • La préservation des ressources fiscales Les principes d’exploitation liés à cette loi • Système de licences • Création d’une autorité de régulation (ARJEL) • Traitement des demandes d’agrément • Supervision des opérations de jeu • 3 familles de jeu autorisées : paris hippiques mutuels, paris sportifs, jeux de cercle (poker) • Les opérateurs doivent disposer d’un site « .fr » • Les opérateurs doivent fournir des données à l’autorité (ARJEL) pour la supervision et le contrôle • Une partie des données doivent être archivées sur un support sécurisé sur le territoire français
  • Les implications de ce contexte – CHECK LIST Exigences sur la maturité du SI Exigences sur la maturité du SI Votre plateforme Votre plateforme Exigences sur la plateforme de jeu Exigences sur la plateforme de jeu Exigences sur le software de jeu Exigences sur le software de jeu Exigences sur le frontal Exigences Coffre fort Capteur réglementaires
  • La réponse technique
  • Architecture technique du coffre-fort
  • Adaptée à VOS besoins Une solution conforme à la réglementation ARJEL en vigueur - Certification technique (frontal) - Validant toutes les conditions réglementaires imposées (art. 22) Une solution robuste et basée sur des composants éprouvés - LinSIGN de LINAGORA (nombreuses références en production) - Architecture innovante (Base de données noSQL pour la performance) et basée sur des composants Open Source Un business model adapté aux opérateurs de jeu en ligne - Modèle sans licences logicielles et donc « cost effective » pour un marché émergeant - Un système d'assurance logicielle non proportionnel au nombres d'utilisateurs ou de CPUs et donc flexible et adpapté à la croissance du business
  • Calendrier de la CSPN ● Rédaction de la cible de sécurité : Septembre 2010 ● Dépôt du coffre-fort : début Octobre 2010 ● Validation finale du coffre-fort : Décembre 2010
  • Notre première référence ● Qui : France Pari Sportif – Arnaud Derrendinger ● Quoi : le coffre-fort LinSecure ● Comment : ● Intégration avec un capteur spécifique ● Intégration avec des HSM nCipher Thales ● Mise en ligne : en attente de la validation ARJEL ● Volumétrie pic : 50 évènements par seconde
  • Merci de votre attention Contact : LINAGORA – Siège social 80, rue Roque de Fillol 92800 PUTEAUX FRANCE Tél. : 0 810 251 251 (tarif local) Fax : +33 (0)1 46 96 63 64 Mail : info@linagora.com Web : www.linagora.com