Identity Federation

1,490 views
1,359 views

Published on

Principe, historique et état de la l'art sur le SSO et la fédération d'identité.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,490
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
52
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Identity Federation

  1. 1. OpenID, OAuth, la délégation d’authentification, kézako ?10 janvier 2012Sébastien Brault, Gaël Gourmelen
  2. 2. Délégation dauthentification, Fédération didentités, … Kézaco ?SP SP Accords opérationnels et échange de méta-données IdP (Identity Provider). Une IdP entité à laquelle les SP peuvent déléguer lauthentification des utilisateurs. Accords opérationnels et échange de méta-données SP
  3. 3. Délégation dauthentification, Fédération didentités, … Kézaco ? SP SPbob@lapage bob@urssaf Accords opérationnels et échange de méta-données Alias Alias 123 456 IdP  Identity federation bob@msp  Authentication Accords Alias opérationnels et échange de méta-données 789 SP bob@caf
  4. 4. Délégation dauthentification, Fédération didentités, … Kézaco ?• Une fédération didentités, cest quoi ? – Cest le fait détablir un lien entre une identité chez un fournisseur didentité (IDP) et une identité chez un fournisseur de service (SP), sur la base dun identifiant utilisateur (alias) transmis par lIDP au SP.
  5. 5. Fédération didentités Usager SP IdP 1) Connect to SPMerci de saisir vos paramètres de 2) Display login pageconnexion définis lors de votreinscriptionVotreloginVotre mot depasse ValiderVous pouvezégalement vousauthentifiervia Mon ServicePublic
  6. 6. Fédération didentités Usager SP IdP 1) Connect to SPCe service est réservé aux abonnésMerci de saisir vos paramètres de 2) Display login pageconnexion définis lors de votreEntrez votre identifiant et votreinscriptionmot de passe 3) Choose MSP authnVotreIdentifian 4) Redirect to IdP with <Authentication Request> bob@msplogintMon mot deVotre mot de 5) Display login page ************passe ValiderAnnuler ValiderVous pouvezégalement vousauthentifiervia Mon ServicePublic
  7. 7. Fédération didentités bob@msp Usager SP IdP 1) Connect to SPCe service est réservé aux abonnésBienvenue bob@msp ! 2) Display login pageEntrez votrefédérer votrevotreVoulez-vous identifiant etmot de passecompte 3) Choose MSP authnLa Page avec votre compte MSP ?Identifian 4) Redirect to IdP with <Authentication Request> bob@mspt OuiMon mot de 5) Display login page ************passe 6) Send Login/Password Valider Annuler Authenticat e User 7) Display federation page
  8. 8. Fédération didentités bob@msp  LaPage : 123 Usager SP IdPVoulez-vous fédérer votre 1) Connect to SPcompteBienvenue bob@msp ! 2) Display login pageVoulez-vous fédérer votreMSP ?La Page avec votre compte Oui, je souhaite fédérer moncompte 3) Choose MSP authn compte La Page avec mon compte MSPLa Page avec votre compte MSP ? 4) Redirect to IdP with <Authentication Request>Merci de saisir vos paramètres deconnexion définis lors de votreOui 5) Display login pageinscriptionVotre 6) Send Login/Passwordlogin bob@lapage AuthenticatVotre mot de e Userpasse ************ 7) Display federation page Valider 8) Consent to federate 9) Redirect to SP with <Authentication Response> 10) Display federation page
  9. 9. Fédération didentités bob@lapage bob@msp  msp : 123  LaPage : 123 Usager SP IdPVoulez-vous fédérer votre 1) Connect to SPcompte 2) Display login pageLa Page avec votre compte MSP ?Bienvenue bob@lapage ! Oui, je souhaite fédérer mon 3) Choose MSP authn compte La Page avec mon compte MSPVotre compte La Page est fédéréMerci de saisir vos paramètres de 4) Redirect to IdP with <Authentication Request>avec votredéfinis lors de votreconnexion compte MSP 5) Display login pageinscriptionVotre 6) Send Login/Passwordlogin bob@lapage AuthenticatVotre mot de e Userpasse ************ 7) Display federation page Valider 8) Consent to federate 9) Redirect to SP with <Authentication Response> 10) Display federation page 11) Send Login/password Authenticat e User 12) Display federation result
  10. 10. Délégation bob@lapage dauthentification  msp : 123 bob@msp  LaPage : 123 Usager SP IdP 1) Connect to SPMerci de saisir vos paramètres de 2) Display login pageconnexion définis lors de votreinscriptionVotreloginVotre mot depasse ValiderVous pouvezégalement vousauthentifiervia Mon ServicePublic
  11. 11. Délégation bob@lapage dauthentification  msp : 123 bob@msp  LaPage : 123 Usager SP IdP 1) Connect to SPCe service est réservé aux abonnésMerci de saisir vos paramètres de 2) Display login pageconnexion définis lors de votreEntrez votre identifiant et votreinscriptionmot de passe 3) Choose MSP authnVotreIdentifian 4) Redirect to IdP with <Authentication Request> bob@msplogintVotre mot deMon mot de 5) Display login page ************passe Valider Valider AnnulerVous pouvezégalement vousauthentifiervia Mon ServicePublic
  12. 12. Délégation bob@lapage dauthentification  msp : 123 bob@msp  LaPage : 123 Usager SP IdPMembre du cercle de confiance MSP 1) Connect to SPCe service est réservé aux abonnés 2) Display login pageBienvenue bob@lapage ! et votreEntrez votre identifiantmot de passe 3) Choose MSP authnIdentifian 4) Redirect to IdP with <Authentication Request> bob@msptMon mot de 5) Display login page ************passe 6) Send Login/Password Valider Annuler Authenticat e User 9) Redirect to SP with <Authentication Response> Authenticat e User 12) Display welcome page
  13. 13. Délégation bob@caf dauthentification  msp : 789 bob@msp  Caf : 789 Usager SP IdP 1) Connect to SPMerci de saisir vos paramètres de 2) Display login pageconnexion définis lors de votreinscriptionVotreloginVotre mot depasse ValiderVous pouvezégalement vousauthentifiervia Mon ServicePublic
  14. 14. Délégation bob@caf dauthentification  msp : 789 bob@msp  Caf : 789 Usager SP IdP 1) Connect to SPMerci de saisir vos paramètres de 2) Display login pageconnexion définis lors de votreinscription 3) Choose MSP authnVotre 4) Redirect to IdP with <Authentication Request> andlogin session cookieVotre mot depasse ValiderVous pouvezégalement vousauthentifiervia Mon ServicePublic
  15. 15. Délégation bob@caf dauthentification  msp : 789 bob@msp  Caf : 789 Usager SP IdP 1) Connect to SPMerci de saisir vos paramètres de 2) Display login pageconnexion bob@caf !Bienvenue définis lors de votreinscription 3) Choose MSP authnVotre 4) Redirect to IdP with <Authentication Request> andlogin session cookie AuthenticatVotre mot de e Userpasse 9) Redirect to SP with <Authentication Response> ValiderVous pouvez Authenticatégalement vous e Userauthentifier 12) Display welcome pagevia Mon ServicePublic
  16. 16. HistoriqueXML/SOAP JSON/REST OpenID 1.0 Completed : 2005 OpenID 2.0 OAuth 1.0 Completed : 2007 Completed : 2007 OAuth 2.0 OpenID Completed : 2012 Connect
  17. 17. Etat de lart• Les principaux standards de SSO et fédération didentité sont aujourdhui : – SAML 2.0 (Security Assertion Markup Language) : normalisé à lOASIS et issu des spécifications de lAlliance Liberty. – OpenID 2.0 : développé et maintenu par lOpenID Foundation (Facebook, Google, Microsoft, Yahoo, Paypal). SP IDP Authentication delegation Authentication Request Authentication phase User authentication (out of scope of SSO and ID Federation specifications) [consent] Authentication Response [Local authentication at first time access] Personalized service
  18. 18. Etat de lart• Les principaux «frameworks» standards daccès aux APIs sont : – OAuth 1.0 / 2.0 : standard maintenant spécifié à lIETF qui permet à un fournisseur de service de récupérer un jeton daccès aux APIs en ayant au préalable recueilli le consentement de lutilisateur. OAuth définit un ensemble de cinématiques pour récupérer le jeton (opaque), des bonnes pratiques (révocation) ainsi que la façon de véhiculer ce jeton lors de laccès aux APIs (HTTP/REST). Note : La prochaine version dOpenID (OpenID Connect) sera spécifiée comme une surcouche à OAuth 2.0 (lidentité pouvant être en partie considérée comme les autres APIs  API renvoyant une assertion dauthentification ou simplement un identifiant utilisateur).
  19. 19. Etat de lart• Autres modèles traités en normalisation : plus de traitements liés à la gestion didentité directement dans les terminaux. – Liberty Alliance «Trusted Identity Module» (représentation de lIDP dans le terminal de lutilisateur) – Workshop W3C «Identity in the browser» (une des conclusions : «Future Web standards should think beyond the browser, including the entire flow between applications, the browser, servers, the operating system, and device capabilities») – Information Cards (Sélecteur dIdentité instancié sur le terminal de lutilisateur)
  20. 20. Nouvelles tendances• Focus sur la notion de « Trust frameworks » : – Certification des IDPs par des entités de confiance, selon 4 niveaux dassurance (Levels of Assurance) initialement définis par ladministration américaine mais aussi repris par lUnion Européenne (QAA levels). – Les audits sont réalisés sur la base dune liste dexigences définie pour chaque niveau (critères techniques mais aussi organisationnels).

×