SEMINAIRE
 Les solutions Open Source
d'Identité et de Sécurité de
          Linagora
           Sébastien BAHLOUL
        ...
Agenda
● Présentation LINAGORA
● LinID:
   ● Gestion avancée des données de votre annuaire d'entreprise
     (LinID Direct...
LINAGORA

Mission : Logiciels et services Open                               Schéma Directeur
source pour réussir les gran...
Les métiers de Linagora
LinID Directory Manager

   Sébastien BAHLOUL
 sbahloul@linagora.com


                   Séminaire septembre 2010
  « Les...
LinID Directory Manager
 Principe : progiciel de gestion d'annuaire


 Modules :
 ● Affichage, modification, création, sup...
Fonctionnalités avancées
● Support de l'overlay ppolicy d'OpenLDAP concernant concernant la
  politique de gestion des mot...
Personnalisation
Thématisation graphique simple
Thématisation graphique simple
Vision d'ensemble

                                          Interface de
                                           gesti...
Informations complémentaires
● Fonctionne sur un annuaire LDAPv3 (OpenLDAP, Sun / RedHat
  Directory Server, Apache Direct...
Références


● LinID Directory Manager Manager




                        Min. Défense
                    Armée de Terre...
Quand SAML2 révolutionne
         le SSO
      Clément OUDOT
    coudot@linagora.com


                     Séminaire sept...
SOMMAIRE
● Présentation du WebSSO
● Le protocole SAML2
● Fonctionnement de LemonLDAP::NG
● Support du SAML2 et autres nouv...
Le WebSSO
● SSO signifie « Single Sign On », qui peut se traduire en français par
  « authentification unique »
● Le WebSS...
SSO par délégation
SSO par mandataire inverse
Autres fonctionnalités
● Le rôle standard du WebSSO est de propager l'authentification sur
  des applications Web
● En sup...
Le protocole SAML
● SAML est un protocole destiné à la fédération d'identités
● La fédération d'identités a pour objectif ...
Concepts SAML
Concepts SAML
● Communication indirecte entre le SP et l'IDP via le navigateur de
  l'utilisateur avec différentes méthode...
Présentation de LemonLDAP::NG
● LemonLDAP::NG est un logiciel libre (licence GPL) hébergé chez
  OW2 : http://lemonldap.ow...
Portail d'authentification
Interface d'administration
Fonctionnement général
Applications compatibles
Autres applications compatibles
● Applications reposant sur la sécurité Apache (.htaccess) :
  Nagios, ...
● Applications ...
Exemple d'utilisation de SAML2
Les autres nouveautés de la future version 1.0
● Fournisseur SAML2, CAS et OpenID
● Choix d'authentification : plusieurs m...
Simplifiez vous la gestion
des certificats avec LinRA
         Daniel FAGES
     dfages@linagora.com


                   ...
LinRA




 LinRA est un produit qui remplit la fonction d'autorité
 d'enregistrement et qui permet de gérer le cycle de vi...
LinRA – Autorité d'enregistrement
  En tant qu'autorité d'enregistrement, les fonctions suivantes sont
  assurées :
● Gest...
LinRA – Gestion par l'utilisateur
  L'utilisateur final peut gérer lui-même le cycle de vie de son
  certificat :
● Initia...
LinRA – Fonctions avancées
  LinRA assure les fonctions suivantes :
● Gestion des demandes de recouvrement par l'utilisate...
LINRA – Exemple d'architecture
LINRA - Prérequis
● OS : Linux, Sun Solaris 10, Windows
● Serveur d'applications : Tomcat, Jboss (v4 mini), Glassfish
● Ba...
LinRA - Démo




               Démonstration
Présentation de l'offre
       « LinSecure »
L'Open Source au service des jeux en ligne




      Sébastien BAHLOUL
    sb...
Notre offre dans le domaine de la sécurité
Le contexte réglementaire

   Les objectifs de la loi sur le jeu en ligne

   • La protection du joueur
   • L’intégrité l...
Les implications de ce contexte – CHECK LIST

                   Exigences sur la maturité du SI
                   Exigen...
La réponse technique
Architecture technique du coffre-fort
Adaptée à VOS besoins

               Une solution conforme à la réglementation ARJEL
               en vigueur
          ...
Calendrier de la CSPN




 ● Rédaction de la cible de sécurité : Septembre 2010


 ● Dépôt du coffre-fort : début Octobre ...
Notre première référence
● Qui : France Pari Sportif – Arnaud Derrendinger


● Quoi : le coffre-fort LinSecure


● Comment...
Merci de votre attention
                                       Contact :
                        LINAGORA – Siège social
...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'identité et de sécurité de LINAGORA !
Upcoming SlideShare
Loading in...5
×

Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'identité et de sécurité de LINAGORA !

1,833

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,833
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'identité et de sécurité de LINAGORA ! "

  1. 1. SEMINAIRE Les solutions Open Source d'Identité et de Sécurité de Linagora Sébastien BAHLOUL sbahloul@linagora.com Daniel FAGES dfages@linagora.com Clément OUDOT coudot@linagora.com
  2. 2. Agenda ● Présentation LINAGORA ● LinID: ● Gestion avancée des données de votre annuaire d'entreprise (LinID Directory Manager) ● Quand SAML révolutionne le SSO (LinID Federation Manager) ● LinPKI: ● Simplifiez-vous la gestion des certificats avec LinRA ● Découvrez LinSecure, la plateforme Open Source de coffre fort pour jeu en ligne
  3. 3. LINAGORA Mission : Logiciels et services Open Schéma Directeur source pour réussir les grands projets Open Source du libre Fondée : Mai 2000 Support Capital: Capital privé OSSA Intégration, Expertise Hosting Migration, Formation... (principalement détenu par les fondateurs) Nombre d'ingénieurs : 150 Nos principaux clients CAGR : +73% 14 M€ 11 M€ 10 M€ 8 M€ 4 M€ 2006 2007 2008 2009 2010 Évolution CA
  4. 4. Les métiers de Linagora
  5. 5. LinID Directory Manager Sébastien BAHLOUL sbahloul@linagora.com Séminaire septembre 2010 « Les solutions Open Source d'Identité et de Sécurité de LINAGORA ! »
  6. 6. LinID Directory Manager Principe : progiciel de gestion d'annuaire Modules : ● Affichage, modification, création, suppression ● Association, gestion de groupe ● Délégation, workflow ● Recherches avancées et organigrammes Adaptabilité : ● Schéma de données ● Contrôle d'accès
  7. 7. Fonctionnalités avancées ● Support de l'overlay ppolicy d'OpenLDAP concernant concernant la politique de gestion des mots de passe, activation / désactivation de compte, forçage du changement de mot de passe à la connection, ... ● Support de l'overlay memberof d'OpenLDAP ● Intégration avec un WebSSO ● Intégration de Google Maps
  8. 8. Personnalisation
  9. 9. Thématisation graphique simple
  10. 10. Thématisation graphique simple
  11. 11. Vision d'ensemble Interface de gestion de contenu Population d'administrateurs Application A Annuaire LDAP central Source de Application B données Active Directory Légende : Traitement automatisé de synchronisation de données Traitement manuel de manipulation de données
  12. 12. Informations complémentaires ● Fonctionne sur un annuaire LDAPv3 (OpenLDAP, Sun / RedHat Directory Server, Apache Directory, …) ● Compatible avec les systèmes de SSO courants (LemonLDAP::NG, CAS, …) ● N'importe quel serveur d'application J2EE (Tomcat, Jetty, JBoss, …) ● Licence : Affero GPL v3
  13. 13. Références ● LinID Directory Manager Manager Min. Défense Armée de Terre - MAAT
  14. 14. Quand SAML2 révolutionne le SSO Clément OUDOT coudot@linagora.com Séminaire septembre 2010 « Les solutions Open Source d'Identité et de Sécurité de LINAGORA ! »
  15. 15. SOMMAIRE ● Présentation du WebSSO ● Le protocole SAML2 ● Fonctionnement de LemonLDAP::NG ● Support du SAML2 et autres nouveautés
  16. 16. Le WebSSO ● SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique » ● Le WebSSO se consacre à l'authentification unique pour les applications Web, c'est-à-dire des applications client-serveur dont le client est un navigateur Web (IE, Firefox, etc.) ● Le principe de base est d'intercepter les requêtes entre le client et le serveur, et indiquer au serveur que le client est bien authentifié ● Techniquement, cela repose essentiellement sur la gestion d'une session SSO stockée au niveau du serveur WebSSO et liée à un cookie dans le navigateur de l'utilisateur ● Deux architectures complémentaires existent : ● WebSSO par délégation ● WebSSO par mandataire inverse
  17. 17. SSO par délégation
  18. 18. SSO par mandataire inverse
  19. 19. Autres fonctionnalités ● Le rôle standard du WebSSO est de propager l'authentification sur des applications Web ● En supplément, ces fonctionnalités sont souvent présentes dans les produits de WebSSO : ● Contrôle d'accès aux applications (qui a accès à quoi) ● Transfert d'informations complémentaires à l'identifiant de l'utilisateur (nom, mails, etc.) ● Gestion du mot de passe (interface de changement de mot de passe, réinitialisation, etc.)
  20. 20. Le protocole SAML ● SAML est un protocole destiné à la fédération d'identités ● La fédération d'identités a pour objectif de lier des fournisseurs de services (SP) et des fournisseurs d'identités au sein d'un ou plusieurs cercle de confiance (CoT) ● SAML c'est du SSO, mais aussi : ● Du SLO (Single Logout) ● Du partage d'attributs ● De l'autorisation (point de décision) ● ... ● Les standards d'origine SAML1, Liberty Alliance et Shibboleth convergent aujourd'hui vers SAML2
  21. 21. Concepts SAML
  22. 22. Concepts SAML ● Communication indirecte entre le SP et l'IDP via le navigateur de l'utilisateur avec différentes méthodes possibles : ● HTTP-Redirect ● HTTP-POST ● HTTP-Artifact (GET et POST) ● Communication directe entre le SP et l'IDP par SOAP ● Gestion de la sécurité des messages par XMLsec ● Possibilité de recherche des IDP par cookie de domaine commun (Common Domain Cookie) ● Gestion d'identifiants persistants, temporaires, ou lié à une donnée (mail par exemple) ● Gestion des contextes d'authentifications et de leur hiérarchie
  23. 23. Présentation de LemonLDAP::NG ● LemonLDAP::NG est un logiciel libre (licence GPL) hébergé chez OW2 : http://lemonldap.ow2.org ● Développé à l'origine par Xavier GUIMARD pour les besoins de la Gendarmerie Nationale ● Produit basé sur Apache et mod_perl, entièrement écrit en Perl (moteur et interfaces) ● Fournit un portail d'accès dynamique et une interface d'administration
  24. 24. Portail d'authentification
  25. 25. Interface d'administration
  26. 26. Fonctionnement général
  27. 27. Applications compatibles
  28. 28. Autres applications compatibles ● Applications reposant sur la sécurité Apache (.htaccess) : Nagios, ... ● Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe, ... ● Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ... ● Applications compatibles SiteMinder
  29. 29. Exemple d'utilisation de SAML2
  30. 30. Les autres nouveautés de la future version 1.0 ● Fournisseur SAML2, CAS et OpenID ● Choix d'authentification : plusieurs modes peuvent être proposés à l'utilisateur (par exemple authentification LDAP ou OpenID) ● Configuration complète dans l'interface graphique ● Choix des thèmes du portail ● Handlers pour Sympa et Zimbra ● Auto-validation de formulaires ● Recherche récursive dans les groupes LDAP ● ...
  31. 31. Simplifiez vous la gestion des certificats avec LinRA Daniel FAGES dfages@linagora.com Séminaire septembre 2010 « Les solutions Open Source d'Identité et de Sécurité de LINAGORA ! »
  32. 32. LinRA LinRA est un produit qui remplit la fonction d'autorité d'enregistrement et qui permet de gérer le cycle de vie des certificats des utilisateurs à très grande échelle, de façons sécurisée et aisée pour tous les publics
  33. 33. LinRA – Autorité d'enregistrement En tant qu'autorité d'enregistrement, les fonctions suivantes sont assurées : ● Gestion des demandes de certification ● Approbation ou refus des demandes de certification ● Demande en ligne d'un certificat par l'opérateur ● Recherche et récupération de certificats ● Statistique/Reporting/Facturation ● Renouvellement automatisé des AC ● Gestion des demandes de révocation
  34. 34. LinRA – Gestion par l'utilisateur L'utilisateur final peut gérer lui-même le cycle de vie de son certificat : ● Initialisation du compte ● Demande et retrait du certificat ● Visualisation de son certificat ● Révocation du certificat ● Demande de dépannage (perte du certificat avec oubli des réponses d'identification)
  35. 35. LinRA – Fonctions avancées LinRA assure les fonctions suivantes : ● Gestion des demandes de recouvrement par l'utilisateur final, possiblement approuvées par un administrateur ● Séquestre possible des clés privées des utilisateurs (pour clés de chiffrement notamment) – possibilité d'imposer l'approbation de n administrateurs pour autoriser le recouvrement ● Utilisation du moteur de workflow JBPM pour la description des process
  36. 36. LINRA – Exemple d'architecture
  37. 37. LINRA - Prérequis ● OS : Linux, Sun Solaris 10, Windows ● Serveur d'applications : Tomcat, Jboss (v4 mini), Glassfish ● Base de données : Mysql, PostgreSQL ● Navigateur Web : Firefox (v1.5 et supérieur), Internet Explorer (5.5 et supérieur pour les utilisateurs finaux ; 6.0 et supérieur pour les opérateurs)
  38. 38. LinRA - Démo Démonstration
  39. 39. Présentation de l'offre « LinSecure » L'Open Source au service des jeux en ligne Sébastien BAHLOUL sbahloul@linagora.com
  40. 40. Notre offre dans le domaine de la sécurité
  41. 41. Le contexte réglementaire Les objectifs de la loi sur le jeu en ligne • La protection du joueur • L’intégrité la sécurité, la fiabilité et la transparence des jeux • Le lutte contre la fraude et le blanchiment • La préservation des ressources fiscales Les principes d’exploitation liés à cette loi • Système de licences • Création d’une autorité de régulation (ARJEL) • Traitement des demandes d’agrément • Supervision des opérations de jeu • 3 familles de jeu autorisées : paris hippiques mutuels, paris sportifs, jeux de cercle (poker) • Les opérateurs doivent disposer d’un site « .fr » • Les opérateurs doivent fournir des données à l’autorité (ARJEL) pour la supervision et le contrôle • Une partie des données doivent être archivées sur un support sécurisé sur le territoire français
  42. 42. Les implications de ce contexte – CHECK LIST Exigences sur la maturité du SI Exigences sur la maturité du SI Votre plateforme Votre plateforme Exigences sur la plateforme de jeu Exigences sur la plateforme de jeu Exigences sur le software de jeu Exigences sur le software de jeu Exigences sur le frontal Exigences Coffre fort Capteur réglementaires
  43. 43. La réponse technique
  44. 44. Architecture technique du coffre-fort
  45. 45. Adaptée à VOS besoins Une solution conforme à la réglementation ARJEL en vigueur - Certification technique (frontal) - Validant toutes les conditions réglementaires imposées (art. 22) Une solution robuste et basée sur des composants éprouvés - LinSIGN de LINAGORA (nombreuses références en production) - Architecture innovante (Base de données noSQL pour la performance) et basée sur des composants Open Source Un business model adapté aux opérateurs de jeu en ligne - Modèle sans licences logicielles et donc « cost effective » pour un marché émergeant - Un système d'assurance logicielle non proportionnel au nombres d'utilisateurs ou de CPUs et donc flexible et adpapté à la croissance du business
  46. 46. Calendrier de la CSPN ● Rédaction de la cible de sécurité : Septembre 2010 ● Dépôt du coffre-fort : début Octobre 2010 ● Validation finale du coffre-fort : Décembre 2010
  47. 47. Notre première référence ● Qui : France Pari Sportif – Arnaud Derrendinger ● Quoi : le coffre-fort LinSecure ● Comment : ● Intégration avec un capteur spécifique ● Intégration avec des HSM nCipher Thales ● Mise en ligne : en attente de la validation ARJEL ● Volumétrie pic : 50 évènements par seconde
  48. 48. Merci de votre attention Contact : LINAGORA – Siège social 80, rue Roque de Fillol 92800 PUTEAUX FRANCE Tél. : 0 810 251 251 (tarif local) Fax : +33 (0)1 46 96 63 64 Mail : info@linagora.com Web : www.linagora.com

×