jeudi 20 avril 2023

Nouveautés et migration vers Shibboleth 2

Journée fédération d’identités

Janvier 2011

PLAN

• État des lieux

• Migrer vers Shibboleth 2

• Nouveautés de Shibboleth 2

• Articulation de Shibboleth IdP

et SSO-CAS

jeudi 20 avril 2023

État des lieux

• 4 Fournisseurs d’identités Shibboleth 1.x

• 1 IdP simpleSAMLphp

• 40 sur 141 SP qui ne supportent pas encore

SAML2

• 4 SP supportent exclusivement SAML2

• Les autres implémentations SAML2 :

– openSSO, simpleSAMLphp, oioSAML

8/9 avril 2010 3

jeudi 20 avril 2023

Migration vers Shibboleth 2

• Le cadre technique de la fédération va évoluer n’incluant plus que le protocole SAML 2

• Certaines ressources de la fédération ne dialoguent qu’en SAML 2

• Les briques techniques Shibboleth v1 ne sont plus supportées par les développeurs

• Profiter des fonctionnalités qu’offre le protocole SAML 2

jeudi 20 avril 2023

Nouveautés - Shibboleth IdP 2.2.x

• Légers changements dans les configurations

des journaux – anciens fichiers non

réutilisables

• Nouvelles fonctionnalités telles que la gestion

d’un cache pour les résultats issus de requêtes

LDAP/SGBD

• Légers changements de syntaxe dans le fichier

relying-party.xml

https://spaces.internet2.edu/display/SHIB2/IdP22Upgrade

À Venir Shibboleth IdP version 3

• Gestion native de mise en cluster (haute-

disponibilité)

• Un « Clustered datastore » sera également

implémenté pour facilité la mise en place des

StoredID

• Intégration d’un module de consentement de

l’utilisateur (logiciel uApprove)

• Implémentation de la norme openID et OTP (sms)

• Implémentation Single Log Out

Single Log Out ?

• Mécanisme de déconnexion généralisée de

toutes les ressources auprès desquelles des

sessions ont été ouvertes

• Préviens des vols de sessions dans le cas

où les cookies de sessions n’ont pas été

invalidés

• Inconvénient : les applications protégées

doivent s’appuyer sur les sessions des SP

qui les protègent

Single Log Out

application

SP

session

IdP

SP

applicationapplication

sessions

SP

Déconnexion

SLO request

SLO requests

Nouveautés - Shibboleth SP 2.4

• Le fichier de configuration (XML) simplifié

• Gestion des méta-données optimisée

– Exécution en tache de fond

– Meilleure gestion du cache

– Validation complète avant écrasement de la version

précédente

• Possibilités de désactivation du cache (assertions

SAML) pour les SP à gros trafic

https://spaces.internet2.edu/display/SHIB2/NativeSPInterestingFeatures

Nouveautés Shibboleth SP 2 : Le service

de découverte• Discovery service = appellation SAML2 du WAYF

• Fonctionnement :

– Ancien : SP WAYF IdP SP

– Nouveau : SP DS SP (Identifiant IdP) IdP SP

• Discovery Service centralisé

– Plusieurs ressources s’appuyant sur un DS commun

– Possibilité d’intégrer un EDS directement sur les pages d’accueil des ressources

• Projet EDS = Embedded Discovery Service

– Actuellement en beta test

– Inclue un moteur de recherche

– Va être « packagé » avec Shibboleth SP 2.4.x

– Intégration simple (fichiers JavaScript + CSS)

– Format de données compact et léger (JSON)

https://spaces.internet2.edu/display/SHIB2/EDSDetails#EDSDetails-3ImplementationDetails

IdP / SSO-CAS - Articulation

• Shibboleth IdP est un serveur

d’authentification

• Beaucoup d’applications intra-

établissement « CASsifiées »

• L’IdP délégue la phase d’authentification à

un serveur CAS en frontal

• L’IdP se charge de prolonger le SSO hors de

l’établissement et de fournir les attributs

jeudi 20 avril 2023

IdP / SSO-CAS - Limites

• En France, la majorité des IdP délègue l’authentification à des serveurs SSO-CAS

• Profil REMOTE_USER utilisé– Single Logout non supporté

– Force authentication non supporté

• Implémentation de ces deux fonctionnalités envisagée – Handler Shibboleth SSO pour CAS

• Une application CASsifiée n’est pas Shibbolisée pour autant

8/9 avril 2010 12

QUESTIONS ?