Cible de sécurité
Contents
1. 6 METHODE D AUTHENTIFIGATION 8 3 1 2 RECHERCHE D ATTRIBUTS UTILISATEUR issues 8 3 2 DESCRIPTION DE LA MANIERE D UTILISER LE 8 4 DESCRIPTION DE L ENVIRONNEMENT DU PRODUIT 9 4 1 DESCRIPTION DES HYPOTHESES SUR L ENVIRONNEMENT 9 4 2 DESCRIPTION DES DEPENDANCES nn inrrrrsnneemenennnneneenennneennre 9 4 3 DESCRIPTION DES UTILISATEURS 5 10 4 4 DEFINITION DU PERIMETRE DE L EVALUATION rires 10 4 5 DESCRIPTION DE L ENVIRONNEMENT TECHNIQUE DANS LEQUEL LE PRODUIT DOIT FONCTIONNER d 11 5 DESCRIPTION DES BIENS SENSIBLES QUE LE PRODUIT DOIT PROTEGER 13 6 DESCRIPTION DES 14 6 1 ELEVATION DE PRIVILEGES 14 6 2 CONTOURNEMENT DES FONCTIONS DE SECURITE 14 6 3 VOL D INFORMATION PERSONNELLE 14 7 DESCRIPTION DES FONCTIONS DE SECURITE DU PRODUIT 15 TABLE DES ILLUSTRATIONS FIGURES WORKELOW a 7 FIGURE ae 11 FIGURE 3 FLOT D ADMINISTRATION 25m in2. te 16 THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 1 GLOSSAIRE cc Crit res communs __________ DP Identity Provider fournisseur d identit SSO Single Sign On TOE Target Of Evaluation THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 2 IDENTIFICATION 2 1 IDENTIFICATION DU DOCUMENT Ce document d crit la cible de s curit relative au produit PASS en vue de l obtention d une certification de s curit de premier niveau des technologies de l information CSPN Ce produit est constitu du logiciel Shibboleth adapt et d ploy dans un environnement s curis 2 2 IDENTIFICATION DU PRODUIT Organisation ditrice Nom commercial du produit PASS Cat gorie de produit Dispositif d authentification SSO THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shal
3. cup rer les informations des personnes utilisant ces services Les administrateurs et les services internes ne sont pas consid r s comme des agents menagants 6 1 ELEVATION DE PRIVILEGES Un utilisateur poss dant des droits l gitimes pour acc der aux services peut essayer de se faire passer pour quelqu un d autre ou essayer d alt rer les informations qui sont transmises sur lui au service m tier afin d augmenter ses privil ges au niveau du service m tier De m me le r seau d administration pourrait tre la cible privil gi e par l attaquant afin de court circuiter les m canismes de s curit s mis en place 6 2 CONTOURNEMENT DES FONCTIONS DE SECURITE Diff rents m canismes de s curit s sont mis en place afin de garantir l acc s aux services et la confidentialit des donn es personnelles Un attaquant pourrait tenter de contourner les politiques de s curit afin d avoir acc s au service sans tre l gitimement autoris utilisation de faux jeton utilisation de faux certificat d authentification vol de session modification des politiques de s curit etc De m me le syst me est s curis afin de ne pas permettre a un attaquant de r cup rer des informations de configuration et des cl s pouvant lui servir contrecarrer la politique de s curit du syst me 6 3 VOL D INFORMATION PERSONNELLE Les donn es personnelles que le syst me doit prot ger sont les informations personnelles que l
4. galement toutes les informations de l utilisateur Shibboleth est capable de r cup rer des informations sur l utilisateur n cessaires au service cible Les informations sur l utilisateur que le service a besoin de connaitre sont indiqu es par simple configuration 3 2 DESCRIPTION DE LA MANIERE D UTILISER LE PRODUIT Le produit Shibboleth une fois install configur et mis en route dans son environnement est utilis par l utilisateur final afin de s authentifier aupr s des services auxquels il veut acc der Suivant le service d sir et la m thode d authentification configur e l utilisateur entre son couple login Password web ou bien pr sente un certificat X509 par l interm diaire de son navigateur Web Une fois cette authentification r alis e et valid e par l infrastructure l utilisateur peut acc der tous les services que Shibboleth prot ge pour une dur e de session donn e et pour une m thode d authentification donn e Cela permet ainsi a l utilisateur de n avoir qu une seule m thode d authentification connaitre pour pouvoir acc der de nombreux services ainsi que de ne pas avoir renseigner ses param tres de connexion pour chaque service acc d THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having
5. s curis s ainsi que le syst me d exploitation les h bergeant mais ces l ments sont consid r s comme faisant partie de l environnement de la cible d valuation Les ressources externes comme la PKI EJBCA l annuaire OpenLDAP les postes clients et les services p riph riques sont exclus de la cible THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 EE https S ML2 i Shibboleth YAPACHE i AJP hups SAM Aaa dentityProvider CRL Cible de s curit pap i Gestion do certificats LDAPS Security amp Identity infrastructure Figure 2 Cible de s curit 4 5 DESCRIPTION DE L ENVIRONNEMENT TECHNIQUE DANS LEQUEL LE PRODUIT DOIT FONCTIONNER Les exigences relatives aux moyens mat riels au minimum sont Processeur de type X86 M moire de 2Go de RAM Espace disque de 4Go Interface r seau de type Ethernet Les exigences relatives aux versions de l OS et des logiciels utilis s sont au minimum OS de type Linux Debian squeeze 6 0 5 bas sur un noyau 2 6 32 59 grsec Un serveur d application Tomcat 6 0 35 1 squeeze2 Un serveur web Apache2 2 2 16 6 squeeze7 Un OpenSSL V0 9 80 4squeeze12 Un
6. utilisateur peut utiliser pour s authentifier ex EJBCA Elle g rera galement la mise disposition d une CRL Cette CRL sera utilis e par afin de v rifier la validit des certificats que l utilisateur pr sentera pour son authentification Cette CRL sera p riodiquement mise jour comme d crit dans la documentation d installation Des services de type WEB Ce sont ces services que l utilisateur doit pouvoir atteindre une fois l authentification r alis e Les exigences sur les services sont Ils doivent tre du type web Ils doivent pouvoir r cup rer les informations utilisateurs dans les ent tes HTTP s ils veulent les exploiter Ils ne doivent pas tre accessible directement par l utilisateur Le passage par un Service Provider qui r alise la fonction de proxy est obligatoire o La communication entre le Service Provider et le service m tier doit tre s curis e HTTPS avec authentification mutuelle et certificats d di s afin de garantir une confidentialit et l int grit des donn es chang es ainsi que la v rification de l identit du SP par le service m tier et r ciproquement Un certificat d di par partie sera utilis pour la communication entre le Service provider et le service m tier L administrateur du service m tier est consid r de confiance L environnement de d ploiement du service m tier sera consid r comme s r Les Browsers Web utilis s par les u
7. OpenSSH 6 6p1 avec OpenSSL V1 0 1 embarqu Unmod_security 2 5 12 1 squeeze1 Un navigateur web Firefox 15 ou sup rieur Un navigateur web Internet Explorer 8 ou sup rieur Un annuaire OpenLdap Externe la cible Une EJBCA Externe la cible THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 L OS et les outils seront mis a jour par rapport aux derniers patchs de s curit publi s pour leurs versions respectives Ils seront galement s curis s conform ment l tat de THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 5 DESCRIPTION DES BIENS SENSIBLES QUE LE PRODUIT DOIT PROTEGER Les biens que doit pouvoir prot ger Shibboleth sont de plusieurs types Les donn es utilisateur Les donn es personnelles identit mot de passe attributs utilisateurs transitant entre le navigateur client et la partie Service Provider d une part et la partie Identity Provider d autre pa
8. THALES CIBLE DE SECURITE CSPN DU PRODUIT PASS Product for Advanced SSO Pr par pour ANSSI Pr par par Thales Communications amp Security S A 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 EVOLUTIONS Date JJ MM AA Ecrit par V rifi par Approuv par Description 28 09 2012 Frederic Vladimir Jean Document initial Motte KSINANT Francois WIOREK 14 05 2013 Frederic Benoit R vision de la cible d valuation suite a la Motte Bruy re r union ANSSI du 14 05 2013 26 05 2013 Frederic Cyril Modification du document suite a la revue de Motte Dangerville ANSSI du 24 06 2013 16 06 2014 Frederic St phane Modification suite l valuation CSPN Motte Solier Cyril Dangerville TABLE DES MATIERES 1 GLOSSAIRE oc 4 2 IDENTIFICATION ne tue 5 2 1 IDENTIFICATION DU 5 22 IDENTIFICATION DU PRODUIT nn hentai 5 3 ARGUMENTAIRE DU 6 3 1 DESCRIPTION GENERALE DU
9. a need to know them without prior written consent of THALES THALES 2014 4 DESCRIPTION DE L ENVIRONNEMENT DU PRODUIT 4 1 DESCRIPTION DES HYPOTHESES SUR L ENVIRONNEMENT Le Service Provider et l Identity Provider sont install s sur des environnements d ex cution s curis s comme d crit dans le manuel d installation Ces machines sont physiquement s curis es dans un local s curis la mani re des infrastructures physiques de l entreprise annuaire etc Du point de vue de l utilisateur aucune exigence particuli re n est demand e except l utilisation de navigateurs supportant un minimum de fonctionnalit s telles que les cookies les certificats le JavaScript et doit supporter des algorithmes de communication SSL TLSv1 0 requis cot serveur soit au moins un de la suite SSL suivante AES256 SHA AES128 SHA Les derni res versions des impl mentations des r f rences telles qu Internet Explorer Firefox sont compatibles La configuration physique et logicielle doit permettre l utilisation de ces navigateurs sans restriction Le poste client doit tre administr selon la politique de s curit de l entreprise du point de vue antivirus mise jour patch de s curit etc Les administrateurs sont consid r s comme non hostiles de confiance et form s l administration du produit Les Services p riph riques les services Web l annuaire LDAP et la PKI doivent tre correctemen
10. e syst me manipule sur l utilisateur et provenant du LDAP les informations personnelles des sessions utilisateur que le syst me produit Ces informations personnelles doivent rester secr tes et ne doivent pas tre divulgu es l ext rieur du syst me et ou manipul es des fins ill gitimes Ces informations doivent rest es confidentielles Le systeme doit permettre la protection de ces informations afin qu aucun attaquant ne puisse les r cup rer et les utiliser a des fins malveillantes THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 7 DESCRIPTION DES FONCTIONS DE SECURITE DU PRODUIT Les principales fonctions de s curit que le produit fournit sont Authentification des utilisateurs par mots de passe L utilisateur d sirant acc der aux services m tiers prot g s par le syst me doit s authentifier aupr s du syst me afin de pouvoir y acc der L utilisateur peut s authentifier sur le syst me en fournissant ses identifiants login mot de passe Ce couple login mot de passe permettra l authentification de l utilisateur permettant ainsi acc s aux services Authentification des utilisateurs par certificats X509 L utilisateur d sirant acc der aux s
11. entes Toute l administration est bas e sur des fichiers de configuration aux formats texte et XML https SAML2 Services Apache Tomcat Shibboleth LDAP LDAPS EPC penLDAP Security amp Identity infrastructure 2 Figure 3 flot d administration THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014
12. ervices m tiers prot g s par le syst me doit s authentifier aupr s du syst me afin de pouvoir y acc der L utilisateur peut s authentifier sur le syst me en fournissant son identifiant bas sur un certificat X509 Ce certificat doit tre valide et doit provenir d une autorit de certification connue par le syst me 550 Single Sign On ou authentification unique L utilisateur ne r alise qu une seule authentification pour acc der aux diff rents services m tiers prot g s Protection des donn es utilisateurs transmises au service m tier Le service m tier n a plus besoin de se connecter au r f rentiel afin de r cup rer les informations concernant l utilisateur Par simple configuration du Service Provider Configuration des attributs utilisateur pour le service m tier cible le service cible recevra la totalit des informations qu il a besoin de connaitre sur l utilisateur en m me temps que l authentification de celui ci La recherche des attributs utilisateur est r alis e par l Identity Provider La configuration des attributs utilisateurs est r alis au niveau des fichiers de configuration de l Identity Provider afin de limiter la fourniture d information uniquement un sous ensemble des donn es utilisateur contenues dans le LDAP pour un Service Provider donn et au niveau des fichiers de configuration du Service Provider afin de fournir uniquement les donn es utiles pour le service m tier pro
13. ette authentification peut se r aliser soit par login mot de passe soit par certificat X509 Dans un second temps l Identity Provider peut se connecter aux diff rents r f rentiels de donn es enregistr s afin de pouvoir r cup rer les informations utilisateur n cessaires pour le service cible L identity Provider est install physiquement sur une machine distincte aux diff rents Service Providers THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 https SAML2 a l Ria https SAML 2 _ServiceProvider Services mmmammmmmmmammmmm Se eeeseseseresesasesezeneenze2e LIT APACHE 4103 LDAPS oo KI LDAP Security amp Identity infrastructure Figure 1 workflow Le workflow d authentification est le suivant L utilisateur veut acc der a un service prot g Le Service Provider traite la requ te afin de valider si l utilisateur a d j t authentifi au pr alable Si oui le Service Provider transmet la requ te au service en ajoutant les informations d authentification propres a l utilisateur ainsi que diff rentes informations sur l utilisateur n cessaires au service cible Ces informations peu
14. l not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 3 3 1 ARGUMENTAIRE DU PRODUIT DESCRIPTION GENERALE DU PRODUIT Le syst me d information d une entreprise regroupe tout un ensemble de services souvent h t rog ne dont chacun g re sa propre base utilisateurs et ses m thodes d authentification Shibboleth bas sur la sp cification SAML2 apporte une souplesse ainsi qu une homog n it dans le moyen d authentifier l utilisateur et de propager l identit de celui ci jusqu aux services En effet les services n ont plus a se pr occuper de la gestion des utilisateurs et de leur authentification Tout ceci est transf r au r f rentiel de l entreprise LDAP ou Active directory pour la gestion des utilisateurs et Shibboleth pour l authentification Les avantages de l externalisation de ces deux fonctions d administration sont L utilisation d un seul r f rentiel d utilisateurs Le maintien en coh rence de ce r f rentiel est facilit par le fait qu il soit unique la multiplication des r f rentiels entrainant in vitablement un probl me de maintien en coh rence de l ensemble La d l gation de l authentification un module con u pour cette fonctionnalit Le module d authentification permet ainsi une meilleure coh rence dans les modes d authentification ainsi qu une plus grande souplesse d
15. ode d authentification peut tre diff rente Shibboleth permet deux m thodes d authentification Login mot de passe Lorsque le service demande ce que utilisateur soit authentifi une page d authentification est retourn e l utilisateur lui permettant de rentrer ses informations de connexion Gr ce ces informations de connexion et l utilisation du r f rentiel utilisateur l authentification de l utilisateur peut tre valid e ou rejet e certificat X509 L utilisateur d tient un certificat X509 qui lui a t attribu par une PKI externe la TOE et qui repr sente son identit dans le syst me d information Si le service demande ce que les utilisateurs soient authentifi s gr ce leur certificat une communication en SSL authentification mutuelle est etablie entre et le navigateur Web Dans ce dernier une fen tre sp cifique du navigateur web demande l utilisateur de choisir le certificat utiliser Ce certificat est par la suite valid afin de s assurer qu il est conforme et toujours valide CRL Le certificat X509 n est utilis que pour l authentification Aucune fonctionnalit de chiffrement ou de signature n est associ e ce certificat une fois la session etablie 3 1 2 RECHERCHE D ATTRIBUTS UTILISATEUR Shibboleth r alise l authentification de l utilisateur en se basant sur un r f rentiel commun l ensemble des services Ce r f rentiel contenant
16. rt ne doivent pas tre transmises en clair Ces informations personnelles chang es doivent rester confidentielles et int gres Les informations de sessions Les sessions ouvertes pour un utilisateur ne doivent en aucun cas tre utilis es par une personne malveillante qui pourrait usurper l identit de la personne Les cookies servant de repr sentation de session ne doivent pas tre vol s et ou r utilis s Par cons quent ils doivent rester confidentiels et int gres De m me pour les jetons SAML chang s entre l Identity Provider et le Service Provider Les donn es de configuration les diff rents fichiers de configuration n cessaires la plateforme Shibboleth Apache Tomcat SSH NTP sont s curis s et accessible uniquement aux personnes autoris s Ils doivent rester confidentiels et int gres Les Secrets cryptographiques utilis s pour les communications et l laboration des jetons SAML sont prot g s afin de conserver la confidentialit et l int grit THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 6 DESCRIPTION DES MENACES Les agents menacants consid r s sont des attaquants essayant d utiliser des services ill gitimement ou essayant de r
17. t g Le transfert des informations utilisateur sera r alis par insertion de celles ci dans le jeton SAML sign et chiffr garantissant ainsi la confidentialit des informations entre la partie Identity Provider et Service Provider Puis ces informations sont ensuite transmises au service cible sous forme d ent te HTTP Gestion des sessions utilisateurs Le couple Identity Provider et Service Provider permet la gestion des sessions utilisateurs bas e sur les jetons SAML et l utilisation de cookies s curis s Ceci permettant la gestion fine des autorisations d acc s au service m tier La journalisation des authentifications Les connexions et erreurs de connexions font l objet d une journalisation dans les fichiers de log de la partie Identity Provider afin de tracer les acc s aux diff rents services prot g s Administration des serveurs Service Provider et Identity Provider La configuration des Service Provider et Identity Provider est assur e par un lien SSH entre le poste de l administrateur et les serveurs administr s La communication SSH empruntera le m me r seau que les THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 communications cli
18. t configur s et administr s et jour des correctifs de s curit Le Poste de l utilisateur est un poste h bergeant un OS jour des patchs de s curit correctement administr et quip d un anti virus lui aussi jour 4 2 DESCRIPTION DES DEPENDANCES Shibboleth n cessite d tre install dans un environnement s curis compos par Un OS s curis bas sur un Linux Debian squeeze configur avec les r gles d crites dans le document d installation du produit PASS GR Security administration contr le d acc s etc De serveur Apache HTTP ainsi que de serveur d application Tomcat Les r gles de s curisation de ces serveurs sont galement d crites dans le document d installation du produit PASS Chaque serveur Apache HTTP sera pourvu d un module mod_security permettant une protection applicative contre des attaques de type XSS infection SQL etc De plus chaque serveur Apache HTTP sera pourvu d un module de communication SSL mod_ssl afin de s curiser la communication entre le client le service m tier le Service Provider et l Identity Provider Dans un contexte industriel chaque serveur Apache devra utiliser un certificat pour la communication SSL provenant d une autorit de certification Les caract ristiques de ces certificats sont d crites dans le guide d installation Dans le cadre du CSPN l valuation sera r alis e avec des certificats auto sign s Shibboleth utilise des certifica
19. tilisateurs sur leur poste client Ils seront install s avec leurs derni res mises jour 4 3 DESCRIPTION DES UTILISATEURS TYPIQUES Cette section pr sente les diff rents intervenants possibles Un ou plusieurs administrateurs dont le r le est de proc der aux op rations d installation de configuration et de maintenance Ces administrateurs disposent de droits d acc s privil gi s au syst me d exploitation compte administrateur et acc s par r seau l administration SSH Ces administrateurs sont de confiance Des utilisateurs qui utilisent les capacit s du syst me pour r aliser leur authentification Le Login mot de passe est personnel chaque utilisateur n est connu que de lui seul et son certificat ainsi que la cl priv e associ e ne sont utilis s que par lui Le certificat lui sera d livr par la PKI du syst me suivant les possibilit s de la PKI et de l infrastructure Interface web email carte puce etc 4 4 DEFINITION DU PERIMETRE DE L EVALUATION La cible de l valuation est constitu e des deux composants Service Provider Shibboleth SP v2 5 1 et Identity Provider Shibboleth IdP v2 3 6 du logiciel Shibboleth Toutes les fonctionnalit s d authentification Login password et certificat X509 ainsi que la recherche d attributs utilisateur font partie du p rim tre d valuation Ces composants sont d ploy s et s ex cutent sur des serveurs web Apache et Tomcat Ces serveurs web sont
20. ts pour la signature et le chiffrement des requ tes et des assertions Chaque partie Service Provider et Identity Provider sera pourvue de certificats diff rents Un certificat pour la signature un cot Service Provider et un cot Identity Provider Un certificat pour le chiffrement un cot Service Provider Dans un contexte industriel chaque certificat sera fourni par une autorit de certification Les caract ristiques de ces certificats sont d crites dans le guide d installation Dans le cadre du CSPN l valuation sera r alis e avec des certificats auto sign s Shibboleth s appuie sur des composants externes faisant partie d une infrastructure standard dans une entreprise THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev A 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 Un annuaire compatible LDAPS contenant les informations sur les utilisateurs susceptibles d acc der aux services expos s ex OpenLDAP Suivant le sch ma de et des informations contenues dans celui ci la configuration de l Identity provider sera adapt e pour permettre la r cup ration des attributs utilisateur Une PKI permettant la cr ation des certificats serveur SP et et certificats X509 que l
21. utilisation pour l utilisateur final En effet il n est plus dans l obligation de s authentifier a chaque service acc d Une authentification globale est ainsi assur e Les services m tiers sont ainsi all g s de ces fonctionnalit s et peuvent ainsi se concentrer sur leurs fonctionnalit s propres Shibboleth est le module d authentification permettant de r aliser l authentification des utilisateurs dans un contexte web La partie r f rentiel utilisateur ne fait pas partie de la solution propos e Le Produit Shibboleth se d compose en deux parties Le Service Provider Le fournisseur de service SP est un reverse proxy en frontal de toutes les applications web que l on d sire prot ger Lorsque l utilisateur cherche acc der une ressource ou un service le fournisseur de service traite la requ te afin de s assurer de l identit de l utilisateur Dans le cas o l utilisateur n a pas d j t authentifi il d l gue l authentification l Identity Provider En g n ral un Service Provider est en frontal chaque service prot ger Physiquement il peut tre sur la m me machine ou sur une machine distante au service prot ger L Identity Provider Le Fournisseur d identit IDP est la brique logicielle charg e de r aliser l authentification des utilisateurs pour le compte du service Il est en charge de proposer l utilisateur de s authentifier afin de valider son identit C
22. vent tre du type adresse adresse mail grade localisation etc Sinon l authentification est d l gu e l Identity Provider qui est en charge de valider l identit de l utilisateur L Identity Provider fournit l utilisateur le moyen de s authentifier et valide ces informations Dans le cas o ces informations sont valid es l Identity Provider cherche les informations requises sur l utilisateur pour le service L Identity Provider fournit ensuite toutes ces informations au Service Provider afin de lui indiquer que l utilisateur est bien authentifi Ces informations sont transport es sous la forme d un jeton au format SAML2 Le Service Provider cr e une session permettant ainsi l utilisateur d acc der au service de mani re transparente THALES TH DSC R amp T CEA SC2 ar 12 0008 TECH Rev 30 06 2014 Template Rev 3 0 This document and the information it contains are property of THALES They shall not be reproduced nor disclosed to any person except to those having a need to know them without prior written consent of THALES THALES 2014 Une fois l authentification r alis e elle peut tre r utilis e pour un autre service auquel l utilisateur veut acc der Dans le cas o la session n a pas expir la connexion au nouveau service est transparente 3 1 1 METHODE D AUTHENTIFICATION L utilisateur doit s authentifier afin d acc der aux services demand s Suivant le service la m th
Download Pdf Manuals
Related Search