Upload
race
View
31
Download
0
Embed Size (px)
DESCRIPTION
Journée fédération d’identités Janvier 2011. Nouveautés et migration vers Shibboleth 2. PLAN. État des lieux Migrer vers Shibboleth 2 Nouveautés de Shibboleth 2 Articulation de Shibboleth IdP et SSO-CAS. État des lieux. 4 Fournisseurs d’identités Shibboleth 1.x 1 IdP simpleSAMLphp - PowerPoint PPT Presentation
Citation preview
jeudi 20 avril 2023
Nouveautés et migration vers Shibboleth 2
Journée fédération d’identités
Janvier 2011
PLAN
• État des lieux
• Migrer vers Shibboleth 2
• Nouveautés de Shibboleth 2
• Articulation de Shibboleth IdP
et SSO-CAS
jeudi 20 avril 2023
État des lieux
• 4 Fournisseurs d’identités Shibboleth 1.x
• 1 IdP simpleSAMLphp
• 40 sur 141 SP qui ne supportent pas encore
SAML2
• 4 SP supportent exclusivement SAML2
• Les autres implémentations SAML2 :
– openSSO, simpleSAMLphp, oioSAML
8/9 avril 2010 3
jeudi 20 avril 2023
Migration vers Shibboleth 2
• Le cadre technique de la fédération va évoluer n’incluant plus que le protocole SAML 2
• Certaines ressources de la fédération ne dialoguent qu’en SAML 2
• Les briques techniques Shibboleth v1 ne sont plus supportées par les développeurs
• Profiter des fonctionnalités qu’offre le protocole SAML 2
jeudi 20 avril 2023
Nouveautés - Shibboleth IdP 2.2.x
• Légers changements dans les configurations
des journaux – anciens fichiers non
réutilisables
• Nouvelles fonctionnalités telles que la gestion
d’un cache pour les résultats issus de requêtes
LDAP/SGBD
• Légers changements de syntaxe dans le fichier
relying-party.xml
https://spaces.internet2.edu/display/SHIB2/IdP22Upgrade
À Venir Shibboleth IdP version 3
• Gestion native de mise en cluster (haute-
disponibilité)
• Un « Clustered datastore » sera également
implémenté pour facilité la mise en place des
StoredID
• Intégration d’un module de consentement de
l’utilisateur (logiciel uApprove)
• Implémentation de la norme openID et OTP (sms)
• Implémentation Single Log Out
Single Log Out ?
• Mécanisme de déconnexion généralisée de
toutes les ressources auprès desquelles des
sessions ont été ouvertes
• Préviens des vols de sessions dans le cas
où les cookies de sessions n’ont pas été
invalidés
• Inconvénient : les applications protégées
doivent s’appuyer sur les sessions des SP
qui les protègent
Single Log Out
application
SP
session
IdP
SP
applicationapplication
sessions
SP
Déconnexion
SLO request
SLO requests
Nouveautés - Shibboleth SP 2.4
• Le fichier de configuration (XML) simplifié
• Gestion des méta-données optimisée
– Exécution en tache de fond
– Meilleure gestion du cache
– Validation complète avant écrasement de la version
précédente
• Possibilités de désactivation du cache (assertions
SAML) pour les SP à gros trafic
https://spaces.internet2.edu/display/SHIB2/NativeSPInterestingFeatures
Nouveautés Shibboleth SP 2 : Le service
de découverte• Discovery service = appellation SAML2 du WAYF
• Fonctionnement :
– Ancien : SP WAYF IdP SP
– Nouveau : SP DS SP (Identifiant IdP) IdP SP
• Discovery Service centralisé
– Plusieurs ressources s’appuyant sur un DS commun
– Possibilité d’intégrer un EDS directement sur les pages d’accueil des ressources
• Projet EDS = Embedded Discovery Service
– Actuellement en beta test
– Inclue un moteur de recherche
– Va être « packagé » avec Shibboleth SP 2.4.x
– Intégration simple (fichiers JavaScript + CSS)
– Format de données compact et léger (JSON)
https://spaces.internet2.edu/display/SHIB2/EDSDetails#EDSDetails-3ImplementationDetails
IdP / SSO-CAS - Articulation
• Shibboleth IdP est un serveur
d’authentification
• Beaucoup d’applications intra-
établissement « CASsifiées »
• L’IdP délégue la phase d’authentification à
un serveur CAS en frontal
• L’IdP se charge de prolonger le SSO hors de
l’établissement et de fournir les attributs
jeudi 20 avril 2023
IdP / SSO-CAS - Limites
• En France, la majorité des IdP délègue l’authentification à des serveurs SSO-CAS
• Profil REMOTE_USER utilisé– Single Logout non supporté
– Force authentication non supporté
• Implémentation de ces deux fonctionnalités envisagée – Handler Shibboleth SSO pour CAS
• Une application CASsifiée n’est pas Shibbolisée pour autant
8/9 avril 2010 12
QUESTIONS ?