<<TableOfContents()>>

= Semaine tech : Authentification unifiée =

== Présentateur(s) ==
 * JeanChristopheAndré

== Format ==
Présentation et réponses aux questions.

== Description détaillée ==
Cet atelier présentera les concepts, l'existant et l'avenir de l'authentification à l'AuF.

== Pré-requis ==
Aller visiter le site du projet : https://redmine.auf.org/projects/auth

== Programme ==
 * Rappel du projet d'authentification unique et distribuée
  * Problématique :
   * multitude d'identifiants et mots de passe :
    * auth.auf (mot de passe chiffrés faiblement, base répliquée sur plusieurs sites)
    * auf-django-users (base locale généralement non synchronisée avec le central)
    * chaque BdD dans chaque application web (ou autre)
   * résultat : multiplicité des identifiants et mots de passe, impossibilité de changer son mot de passe globalement, mauvaise sécurité en général
  * Objectifs :
   * unifier tout cela, en simplifiant sans sacrifier la sécurité mais au contraire en l'augmentant
   * le web en priorité, tous les autres services par la suite (ou en parallèle quand c'est possible)
   * les personnels AuF d'abord mais pas seulement : les abonnés ensuite, les bénéficiaires et tout autre utilisateur de nos services, comme les demandeurs de bourses par exemple
 * Présentation de la solution choisie (SAML + LDAP)
  * Concepts généraux : SAML est un protocole d'échange d'assertions de sécuritée (ouf !)
  * Mise en place concrète­­­­­ :
   * service web d'identité : id.auf.org, via le logiciel Authentic 2
   * informations d'authentification déportées dans un annuaire LDAP
   * l'annuaire LDAP est réutilisable par les autres services, web ou non web
   * amélioration de auf-django-users pour sauvegarder les informations d'authentification dans le LDAP (et uniquement là)
   * reconfiguration des couches d'authentification via PAM + LDAP
 * Fonctionnalités présentes et à venir
  * 1ère étape : authentification web centralisée des personnels AUF, avant la mi septembre 2012
   * les personnels AuF s'authentifieront sur le web, fixeront et changeront leur mot de passe via id.auf.org, qui fonctionnera sur un LDAP central
   * la qualité du mot de passe sera contrôlée lors de la saisie et seul une entréee respectant la politique des mots de passe sera acceptée
   * désynchronisation du mot de passe id.auf.org de auth.auf => id.auf.org sera la référence et auth.auf sera déprécié
   * les anciens sites dont l'authentification utilise auth.auf (typiquement les sites sur l'intranet) seront toujours accessibles via l'ancien mot de passe, mais celui-ci ne pourra plus être changé
  * 2ème étape : unification de l'authentification des personnels AUF
   * normalisation générale des identifiants et mots de passe des personnels AuF dans les implantations (typiquement pour les services de courriels et les postes clients)
   * déploiement dans toutes les implantations d'un service LDAP et d'une nouvelle version de auf-django-users intégrant l'enregistrement des données d'authentification dans celui-ci
   * établissement d'une synchronisation (partielle) entre le LDAP central et le LDAP local pour assurer que les mots de passe restent les mêmes des deux côtés
  * 3ème étape : basculement vers un mode d'authentification distribué de tous les utilisateurs (AUF et abonnés)
   * déploiement d'un service d'authentification Authentic 2 (comme id.auf.org) dans toutes les implantations, se basant sur le LDAP local
   * insertion d'une couche de choix du service d'authentication (id discovery) dans le processus d'authentification web, pour choisir son site (et donc l'autorité qui pourra nous identifier)
   * le choix sera mémorisé dans le navigateur, ce qui permettra de ne pas avoir à le refaire systématiquement
   * il sera toujours possible de changer de site d'identification

== Environnement technique ==
Un navigateur web.

== Date et heure de passage ==
Voir [[Projet/SemaineTech/2012/Planification]]
 * Le 28/08/2012 à 14h00 TU
 * Durée prévue: 45 minutes de présentations (''max'') + 15 minutes de question

== Commentaires du présentateur ==

== Ressources ==
 * le service en production : https://id.auf.org/
 * la documentation du projet : https://redmine.auf.org/projects/auth/wiki
 * le logiciel Authentic 2 (service d'identité) : http://dev.entrouvert.org/projects/authentic
 * le module Apache ModMellon (authentification via SAML) : http://code.google.com/p/modmellon/

== Archives des conversations ==
[[/Conversation|Archive de la conversation]] tenue pendant l'atelier