Semaine tech : Authentification unifiée

Présentateur(s)

JeanChristopheAndré

Format

Présentation et réponses aux questions.

Description détaillée

Cet atelier présentera les concepts, l'existant et l'avenir de l'authentification à l'AuF.

Pré-requis

Aller visiter le site du projet : https://redmine.auf.org/projects/auth

Programme

Rappel du projet d'authentification unique et distribuée
- Problématique :
  - multitude d'identifiants et mots de passe :
    - auth.auf (mot de passe chiffrés faiblement, base répliquée sur plusieurs sites)
    - auf-django-users (base locale généralement non synchronisée avec le central)
    - chaque BdD dans chaque application web (ou autre)
  - résultat : multiplicité des identifiants et mots de passe, impossibilité de changer son mot de passe globalement, mauvaise sécurité en général
- Objectifs :
  - unifier tout cela, en simplifiant sans sacrifier la sécurité mais au contraire en l'augmentant
  - le web en priorité, tous les autres services par la suite (ou en parallèle quand c'est possible)
  - les personnels AuF d'abord mais pas seulement : les abonnés ensuite, les bénéficiaires et tout autre utilisateur de nos services, comme les demandeurs de bourses par exemple
Présentation de la solution choisie (SAML + LDAP)
- Concepts généraux : SAML est un protocole d'échange d'assertions de sécuritée (ouf !)
- Mise en place concrète :
  - service web d'identité : id.auf.org, via le logiciel Authentic 2
  - informations d'authentification déportées dans un annuaire LDAP
  - l'annuaire LDAP est réutilisable par les autres services, web ou non web
  - amélioration de auf-django-users pour sauvegarder les informations d'authentification dans le LDAP (et uniquement là)
  - reconfiguration des couches d'authentification via PAM + LDAP
Fonctionnalités présentes et à venir
- 1ère étape : authentification web centralisée des personnels AUF, avant la mi septembre 2012
  - les personnels AuF s'authentifieront sur le web, fixeront et changeront leur mot de passe via id.auf.org, qui fonctionnera sur un LDAP central
  - la qualité du mot de passe sera contrôlée lors de la saisie et seul une entréee respectant la politique des mots de passe sera acceptée
  - désynchronisation du mot de passe id.auf.org de auth.auf => id.auf.org sera la référence et auth.auf sera déprécié
  - les anciens sites dont l'authentification utilise auth.auf (typiquement les sites sur l'intranet) seront toujours accessibles via l'ancien mot de passe, mais celui-ci ne pourra plus être changé
- 2ème étape : unification de l'authentification des personnels AUF
  - normalisation générale des identifiants et mots de passe des personnels AuF dans les implantations (typiquement pour les services de courriels et les postes clients)
  - déploiement dans toutes les implantations d'un service LDAP et d'une nouvelle version de auf-django-users intégrant l'enregistrement des données d'authentification dans celui-ci
  - établissement d'une synchronisation (partielle) entre le LDAP central et le LDAP local pour assurer que les mots de passe restent les mêmes des deux côtés
- 3ème étape : basculement vers un mode d'authentification distribué de tous les utilisateurs (AUF et abonnés)
  - déploiement d'un service d'authentification Authentic 2 (comme id.auf.org) dans toutes les implantations, se basant sur le LDAP local
  - insertion d'une couche de choix du service d'authentication (id discovery) dans le processus d'authentification web, pour choisir son site (et donc l'autorité qui pourra nous identifier)
  - le choix sera mémorisé dans le navigateur, ce qui permettra de ne pas avoir à le refaire systématiquement
  - il sera toujours possible de changer de site d'identification

Environnement technique

Un navigateur web.

Date et heure de passage

Voir Projet/SemaineTech/2012/Planification

Le 28/08/2012 à 14h00 TU
Durée prévue: 45 minutes de présentations (max) + 15 minutes de question

Commentaires du présentateur

Ressources

le service en production : https://id.auf.org/
la documentation du projet : https://redmine.auf.org/projects/auth/wiki
le logiciel Authentic 2 (service d'identité) : http://dev.entrouvert.org/projects/authentic
le module Apache ModMellon (authentification via SAML) : http://code.google.com/p/modmellon/

Archives des conversations

Archive de la conversation tenue pendant l'atelier

Projet/SemaineTech/2012/Ateliers/AuthentificationUnifiée (dernière édition le 2012-08-28 14:19:32 par MoussaNombre)

WikiTeki / Projet / SemaineTech / 2012 / Ateliers / AuthentificationUnifiée