Successfully reported this slideshow.

[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG 2.0

1

Share

Loading in …3
×
1 of 28
1 of 28

[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG 2.0

1

Share

Download to read offline

LemonLDAP::NG est une solution de WebSSO, contrôle d'accès et fédération d'identités déployée largement en France, dans des ministères, des collectivités territoriales et dans le secteur privé.

Elle permet la mise en place d'un portail d'authentification sécurité (simple ou mutli-facteurs) et l'intégration de nombreuses applications Web se basant sur les protocoles CAS, SAML et OpenID Connect, ou compatibles avec l'authentification par en-têtes HTTP.

La version 2.0 est sortie fin novembre et apporte de nombreuses nouvelles fonctionnalités, comme la gestion native des seconds facteurs TOTP et U2F, des APIs REST, la protection de web services et micro services ou encore le mode de déploiement "SSO as a Service".

https://www.flosscon.org/conferences/FLOSSCon2019/program/proposals/38

LemonLDAP::NG est une solution de WebSSO, contrôle d'accès et fédération d'identités déployée largement en France, dans des ministères, des collectivités territoriales et dans le secteur privé.

Elle permet la mise en place d'un portail d'authentification sécurité (simple ou mutli-facteurs) et l'intégration de nombreuses applications Web se basant sur les protocoles CAS, SAML et OpenID Connect, ou compatibles avec l'authentification par en-têtes HTTP.

La version 2.0 est sortie fin novembre et apporte de nombreuses nouvelles fonctionnalités, comme la gestion native des seconds facteurs TOTP et U2F, des APIs REST, la protection de web services et micro services ou encore le mode de déploiement "SSO as a Service".

https://www.flosscon.org/conferences/FLOSSCon2019/program/proposals/38

More Related Content

Related Books

Free with a 14 day trial from Scribd

See all

Related Audiobooks

Free with a 14 day trial from Scribd

See all

[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG 2.0

  1. 1. Gestion des authentifcations et des accès avec LemonLDAP::NG 2.0 28 Janvier 2019 Clément OUDOT @clementoudot Worteks @worteks_com
  2. 2. 2 Services Infrastructures complexes et hétérogènes, cloud, messagerie, authentifcation, sécurité  Étude, audit et conseil  Expertise technique  Support technique  Formations  R&D Édition Portail applicatif et collaboratif Plateforme collaborative mutualisée de développement Gestion des identités et des accès Partenaires Worteks (v .t ks)ɔʁ ɛ
  3. 3. Le logiciel LemonLDAP::NG
  4. 4. Fonctionnement du SSO Portail d’authentifcation Application 2. Authentifcation 1. Premier accès 3. Envoi du jeton SSO Lien de confance 4. Validation du jeton
  5. 5. FLOSSCon 2019 - 28/01/2019 5 Historique 2003 2006 2010 2016 2018 Création du projet Fork – version NG Support des protocoles CAS, SAML et OpenID Version 1.0 Support du protocole OpenID Connect Seconds facteurs (2FA) Version 2.0
  6. 6. FLOSSCon 2019 - 28/01/2019 6 Principales fonctionnalités ● Authentifcation unique (WebSSO) ● Contrôle d'accès ● Portail d'applications ● Chaînage et choix des modules d'authentifcation ● Gestion du mot de passe, création de compte ● Authentifcation multi-facteurs ● Protection des applications Web et des API/WebServices ● Personnalisation graphique ● Paquets Debian/Ubuntu/RHEL/CentOS
  7. 7. FLOSSCon 2019 - 28/01/2019 7 Logiciel Libre ● Licence GPL ● Projet OW2 ● Forge : https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng ● Site : https://lemonldap-ng.org ● OW2 Community Award en 2014 ● Composant SSO du projet FusionIAM : https://fusioniam.org/
  8. 8. FLOSSCon 2019 - 28/01/2019 8 Rôle des composants Confgurations Sessions Manager Handler Application menu CAS SAML OpenID Connect Self Services SOAP/REST server Session management Confgurations Sessions Notifcations Second factors Access Control SSOaaS Web Service Token Custom Portal
  9. 9. Fonctionnement par agent (Handler)
  10. 10. FLOSSCon 2019 - 28/01/2019 10 Application Web Sessions Portal Handler Web Application Authentication Session creation Session read SSO cookie HTTP headers
  11. 11. FLOSSCon 2019 - 28/01/2019 11 API – Service Token Sessions Portal Handler Web Application Authentication Session creation Session read SSO cookie HTTP headers Token Handler Service Token Web Service Token HTTP headers Session read
  12. 12. FLOSSCon 2019 - 28/01/2019 12 Mode DevOps (SSO as a Service) Sessions Portal Handler Web Application Authentication Session creation Session read SSO cookie HTTP headers rules .json Access rules Exported rules
  13. 13. Les protocoles CAS, SAML et OpenID Connect
  14. 14. FLOSSCon 2019 - 28/01/2019 14 Principales fonctionnalités ● Modes "client" et "serveur" ● Échange d'attributs ● Gestion des niveaux et des contextes d'authentifcation ● Génération automatique des clés publiques et privées ● Contrôle d'accès par services ● Publication des données de confguration (metadata) ● Passerelle mutli-protocoles ● Transfert de la déconnexion
  15. 15. Nouveautés de la version 2.0
  16. 16. 16 Seconds facteurs d'authentifcation (2FA) ● LemonLDAP::NG peut demander un second facteur d'authentifcation après que la première authentifcation ait été validée : – TOTP – U2F – TOTP ou U2F – Externe – REST – Yubikey
  17. 17. FLOSSCon 2019 - 28/01/2019 17 Backends de confguration ● Backends déjà existants : – Fichier JSON – Base de données – LDAP – NoSQL (MongoDB) – SOAP ● Nouveaux backends : – Fichier YAML – REST – Local (utilisation du fchier lemonldap-ng.ini uniquement)
  18. 18. FLOSSCon 2019 - 28/01/2019 18 Handler NodeJS ● Intégration native dans une application Express ● Règles et en-têtes à écrire en Javascript ● https://github.com/LemonLDAPNG/node-lemonldap-ng-handler npm install node-lemonldap-ng-handler
  19. 19. FLOSSCon 2019 - 28/01/2019 19 SSO as a Service ● L'authentifcation est toujours réalisée par le portail ● Les contrôles d'accès et la liste des en-têtes est gérée par l'application, dans un fchier JSON à la racine ● Cela permet un déploiement rapide d'application en mode "DevOps" : aucune déclaration n'est nécessaire dans la confguration globale
  20. 20. FLOSSCon 2019 - 28/01/2019 20 Protection des API / WebService ● Nouveau Handler "Service Token" en rupture de fux entre l'application et le Web Service ● Génération d'un jeton par le Handler principal en incluant le temps (time), l'identifant de session (session_id) et la liste des hôtes virtuels (vhostList) ● Transmission du jeton par l'application au Web Service ● Validation du jeton par le Handler "Service Token" et à l'aide de l'identifant de session, contrôle d'accès et envoi des en-têtes
  21. 21. FLOSSCon 2019 - 28/01/2019 21 Modules d'authentifcations ● Nouveaux modules : – PAM – REST – Kerberos (GSSAPI) – CAS (lecture des attributs) ● Remplacement de Multi par Combination ● Utilisation possible d'un module Custom
  22. 22. FLOSSCon 2019 - 28/01/2019 22 Interface d'administration ● Ajout d'un comparateur de confgurations : les diférences entre deux confgurations sont afchées sous forme d'arbre ● Module d'administration des seconds facteurs (recherche, révocation) ● Tri des sessions par date de création et date de modifcation
  23. 23. FLOSSCon 2019 - 28/01/2019 23 RENATER ● Support de la fédération RENATER via SAML2 : – Fournisseur de Service – Fournisseur d'identité ● Appel de la page de choix du fournisseur (WAYF) via SAML Discovery Protocol ● Script d'import en masse des metadata publiées par Renater
  24. 24. FLOSSCon 2019 - 28/01/2019 24 Moteur de plugins ● Le code du portail a été réécrit pour permettre le développement simple de nouveaux plugins ● Exemple de plugins fournis par défaut : – Auto Signin : authentifcation directe pour certaines IP – Brute Force : protection des attaques par force brute – Stay Connected : possibilité de garder sa session même après fermeture du navigateur – Public Pages : création de pages statiques reprenant le thème du portail ● Écrire son propre plugin : https://lemonldap-ng.org/documentation/latest/plugincustom
  25. 25. FLOSSCon 2019 - 28/01/2019 25 Autres nouveautés ● Un utilisateur peut recharger ses droits sans se déconnecter/reconnecter ● Services REST natifs (confgurations et sessions) ● Sélection de la langue avant la connexion ● Nouveau thème graphique basé sur Bootstrap 4 ● Personnalisation du logo (repris dans le thème graphique et les mails envoyés) ● Choix du système de logs (syslog, Apache, Log4Perl, Sentry...)
  26. 26. Contact clement.oudot@worteks.com Pour plus d’informations : info@worteks.com @worteks_com linkedin.com/company/worteks
  27. 27. Co-propulsé avec ❤ par Trois jours d’ateliers, conférences, démos, tables rondes par les libristes alpins Dimanche 27 janvier 2019, journée "Libre et grand public" au Secours Catholique Isère à Grenoble Lundi 28 janvier 2019, journée "Libre et technologie" à CGI à Grenoble Mardi 29 janvier 2019, journée dédiée "Libre et secteur public" à La Source à Fontaine Grenoble Logiciels et données libres pour une transformation numérique maîtrisée

×