Il n'est pas indispensable d'adhérer à la fédération d'Identité Renater pour partager des identités d'accès web au sein d'un groupe communautaire. Cela reste cependant recommandé pour des raisons de formalité et d'ouverture aux autres organismes de la communauté enseignement recherche.
La simple installation d'un fournisseur d'Identité shibboleth (IdP) permet un acces de type SSO aux ressources web shibbolisées (Services Providers; SP) au sein du groupe.
Un certain nombre d'applications web sont déjà “shibbolisées” : Shibboleth® Enabled Applications and Services
Sur le site d'Evry, 4 serveurs (SP) web fournissent déjà des acces:
Au delà de l'authentification (authN en terminologie Apache) SSO (Single Sign On), shibboleth propage des attributs (issues du référentiel de personne en cours sur chaque site) permettant la définition d'autorisations (AuthZ) sur les applications Web. Afin de permettre une définition de rôle cohérente au sein du groupe et de la communauté, il est fortement conseillé de disposer d'une nomenclature et sémantique commune sur les divers référentiels, aujourd'hui supann semble être la bonne voie .
Aperçus des produits et standards de fédération d'identité, chapitre repris des “solutions alternatives” depuis le rapport de julien Bonjean “Etude de la solution Moodle-shibboleth”
Les services ADFS [AFDS] sont des services fédérées de gestion des identités (SSO, Single sign-On) et utilisant la spécification WS-Federation. A.D.F.S identifie, authentifie, et autorise les utilisateurs à accéder à des extranets. La fédération des identités permet de partager les informations d'identité d'Active Directory . Cette offre est axée sur les produits Microsoft
OpenId est un système d’authentification décentralisé qui permet l’authentification unique, ainsi que le partage d’attributs. Il utilise l’URL comme identifiant. Il existe même une implémentation mono-utilisateur en PHP, Cette solution utilise son propre standard.
Lasso a été certifiée par le consortium Liberty Alliance en tant que produit respectant les plus hauts standards de qualité. Lasso implémente les protocoles ID-FF, ID-WSF et SAML 2.0. Lasso n'est pas une plate-forme Java/JEE. Il s'agit d'une bibliothèque écrite en C. Il semble que ce projet aurait pu être une bonne alternative à Shibboleth, cependant il ne s'agit ici que d'une bibliothèque et il faut donc implémenter le SP et l'IdP.
Shibboleth est un mécanisme de propagation d'identités, développé par le consortium Internet2, qui regroupe plus de 200 universités et centres de recherches.
L'objectif de la propagation d'identités est double : déléguer l'authentification à l'établissement d'origine de l'utilisateur et obtenir certains attributs de l'utilisateur (pour gérer le contrôle d'accès ou personnaliser les contenus). Le principe utilise un socle organisationnel : une fédération d'autorités d'authentification.
Les concepts clés de Shibboleth sont :
Tableau comparatif | ||||
---|---|---|---|---|
AFDS | OpenId | Lasso | Shibboleth | |
Spécification | WS-Federation | OpenId | Liberty Alliance | Shibboleth |
Protocoles | WS-Federation | OpenId | SAML | SAML |
OS | Windows Server 2003 | multi-plateforme | multi-plateforme | multi-plateforme |
License | Windows | ? | GNU GPL | Apache 2.0 |
Ils sont nombreux et souvent liés. SAML (Security Assertion Markup Language) est par exemple la base commune d'ID-FF (Identity Federation Framework de Liberty Alliance) et de Shibboleth.
Le Security Assertion Markup Language (SAML) d'OASIS a été le premier standard permettant l'échange d'assertion sécurisée. Il a été explicitement conçu pour les relations business-to-business. SAML 2.0 qui vient d'être publié par l'OASIS est une forme de convergence entre SAML 1.1, Liberty ID-FF 1.2 et Shibboleth.
L'Identity Federation Framework (ID-FF 1.2 et son prédécesseur ID-FF 1.1) a été élaboré par le consortium Liberty Alliance, fondé mi 2001 par Sun, et rejoint par plusieurs centaines d'entreprises (France Télécom, Vodafone, VeriSign, Mastercard, etc.). ID-FF se base sur SAML et le complète permettant des scénarios de déploiement plus complexes. Conçu pour l'entreprise, en interne et en externe, ID-FF permet de coupler les exigences d'une authentification forte avec le respect de la vie privée des usagers, c'est la raison pour laquelle la DGME/SAÉ encourage très fortement son utilisation au sein des administrations françaises.
Microsoft, IBM, et VeriSign travaillent sur un ensemble de spécifications (appelées « WS-Security roadmap » ou « WS-* ») pour leur prochaine génération de plate-forme de Web services. WS-Federation est centré sur l'entreprise, les relations business-to-business et business-to-employee. L'utilisation de la confidentialité y est optionnelle et il manque à ce protocole le support du multi-client, ce qui le rend peu approprié aux environnements business-to-consumer à l'heure actuelle.
L'Identity-based Web Services Framework (ID-WSF) de Liberty Alliance se situe au sommet de la pile des protocoles de fédération. La spécificité d'ID-WSF c'est le service de découverte d'identité qui permet le partage d'attribut d'identité sous le contrôle de l'utilisateur. ID-WSF convient aux déploiements business-to-business et business-to-consumer où le partage d'attribut de façon confidentielle est central.
http://www.journaldunet.com/solutions/systemes-reseaux/analyses/07/0628-federation-identite.shtml
Le partage d'identité entre deux entités distinctes est permis par le protocole standardisé et sécurisé SAML 2.0, soutenu par la Liberty Alliance. Outre SAML, il existe aussi des spécifications telles que WS-Security et WS-Federation, soutenues par le consortium WS-I (Web Services interoperability). Enfin, le projet Shibboleth, développé depuis 2001, se présente comme une extension de SAML enrichie. Toutes ces normes fonctionnent autour du standard LDAP pour assurer le dialogue entre les différents annuaires. … Pour certains systèmes sensibles, il est intéressant d'ajouter à la fédération d'identité une authentification forte. Il est ensuite possible d'aller plus loin en matière de sécurité, en signant par exemple tous les échanges réalisés durant la fédération. Ainsi, avec une enveloppe SAML, l'administrateur sera capable de faire de l'audit et de la tracabilité sur les opérations effectuées“,…
Solutions et protocoles de fédération d'identité
Plus spécifiques sur shibboleth et la fédération Renater
Fédérations Nationales
Pas complètement a jours, mais plus large: https://federation.renater.fr/docs/autres_federations et sur Terena: https://refeds.terena.org/index.php/Federations