Drupal et les SSO

Nicolas Bocquet < nbocquet@linalis.com >

Www.linalis.com

Sommaire

● Présentation de Linalis

● Le SSO

● Les différentes implémentations majeures

● Drupal & Consort

● Retour d'expérience sur projet

Nicolas Bocquet

Responsable Pôle WebResponsable Pôle Web

@Nicolas_Bocquet

Pour suivre nos prochains evénements et formations@linalis

• Opération en Suisse & France depuis 2002

• Domaines d'expertises:Domaines d'expertises:

Web Communications, Business Intelligence

• Activité :

– Services : Consulting, development, systems integration

• Support & Maintenance, both on site & remote

– Training : Certified training center for public and customised

• Pentaho BI, Acquia Drupal & Linux Professional Institute

– Recruitement : Providing IT Project resources and permanent recruitment services

Qui Sommes Nous ?Qui Sommes Nous ?

Web Communications

CMS

Custom development

Graphic integration

Web architecture

Analytics

Business Intelligence

Data extraction

Analytics

Reporting

Dashboards

Single Sign On

Parlons plutôt de Web SSO

> > Système d'authentification uniqueSystème d'authentification unique que pour le WEB

>> un seul login / mot de passe = plusieurs un seul login / mot de passe = plusieurs sitessites

> Prouver que le client est bien authentifiéProuver que le client est bien authentifié

Simplification de l'utilisation

Amélioration de la sécurité

Facilité pour les gestionnaires

Mais avec différentes fonctionnalités

> > Récupération d'attributsRécupération d'attributs

>> Gestion des groupes et rôles Gestion des groupes et rôles

> Cercle de confiance

> Création de compte automatique

Quelques différentes implémentations

OPENID

>> Système utilisé par le grand Public Système utilisé par le grand Public

>> le Login contient l'url du service le Login contient l'url du service d'authentificationd'authentification

> Utilise les redirection HTTP

> Requiert ou non un serveur d'authentification

http://openid.net

OPENID

>> Partage d'attributs avec confirmation de Partage d'attributs avec confirmation de l'utilisateurl'utilisateur

> > Utiliser par de gros player (Yahoo, FB, Utiliser par de gros player (Yahoo, FB, Google, Orange Labs) Google, Orange Labs)

> Moyennement adopté> Moyennement adopté

CAS

> > Central Authentication Service

>> Développé initialement par YALE Développé initialement par YALE

> Système de ticketing proche de Kerberos

> Ne permet pas de partage d'attributs

> Possibilité de proxyfication

http://www.ja-sig.org/cas

Shibboleth / SAML

> Développé par Internet2> Développé par Internet2

> > Security Assertion Markup LanguageSecurity Assertion Markup Language

>> Fédération d'identité Fédération d'identité

>> 2 objectifs 2 objectifs•Déléguer l'authentificationDéléguer l'authentification•Partager des attributsPartager des attributs

http://shibboleth.internet2.edu/

Shibboleth

> > Gros socle organisationnelGros socle organisationnel•Gestion de la confiance dans le cercleGestion de la confiance dans le cercle

>> IDP et SP IDP et SP

> > Choix des attributs par SP Choix des attributs par SP

Et les autres

> > OauthOauth

> > Facebook ConnectFacebook Connect

> > TwitterTwitter

> > le votrele votre

ShibbolethEt Drupal avec Cela

Drupal, le SSO en multi-site

> Ne demande aucun module supplémentaire> Ne demande aucun module supplémentaire

> Ne fonctionne que avec des sites Drupal> Ne fonctionne que avec des sites Drupal

> Avec le même domaine

> Partage des tables dans la base de données

OpenID, une solution intégrée

> Module fournis dans la distribution standard> Module fournis dans la distribution standard

> Activation en un clic> Activation en un clic

> Marche avec tous les IDP OpenID grand public

CAS et sa facilité de mise en œuvre

> Module cas à installer > Module cas à installer http://drupal.org/project/cashttp://drupal.org/project/cas> Demande une création du compte local > Demande une création du compte local avantavant

> Peut être utiliser en collaboration avec > Peut être utiliser en collaboration avec LDAP pour la gestion des rôlesLDAP pour la gestion des rôles

> Mise en place assez simple dans une petite > Mise en place assez simple dans une petite communauté et avec des applications communauté et avec des applications cassifiéscassifiés

Shibboleth, sa puissance de feu

> Module shib_auth à installer> Module shib_auth à installerhttp://drupal.org/project/shib_authhttp://drupal.org/project/shib_auth

> Mise en place du Service Provider sur le > Mise en place du Service Provider sur le serveur ainsi qu'un mod_shib pour le serveur ainsi qu'un mod_shib pour le VirtualHostVirtualHost

> Configuration demandant quelques > Configuration demandant quelques paramètresparamètres

Shibboleth, sa puissance de feu

> Création et mise à jour des comptes> Création et mise à jour des comptes

> Mapping des attributs avec les champs > Mapping des attributs avec les champs DrupalDrupal

> Synchronisation des rôles dans Drupal> Synchronisation des rôles dans Drupal

> Logout vers une url sur l'IDP> Logout vers une url sur l'IDP

Retour d'expérience à l’École Internationale de Genève

Les difficultés

> Processus de gestion des comptes Parents> Processus de gestion des comptes Parents > Démarrage en cours d'année> Démarrage en cours d'année > Activation manuel> Activation manuel

> Besoin de donner l'édition des pages au > Besoin de donner l'édition des pages au StaffStaff

> Besoin de simplicité car les personnes sont > Besoin de simplicité car les personnes sont sur 3 sites différents sur 3 sites différents

Le contexte du Projet

> Site vieillissant en ColdFusion> Site vieillissant en ColdFusion

> Envie d'héberger en Interne le site Web> Envie d'héberger en Interne le site Web

> Site comprenant un site Public et un > Site comprenant un site Public et un intranet pour les parents et le staffintranet pour les parents et le staff

Implémentation de Shib coté Shib

> Intégration de Shib IDP avec l'annuaire > Intégration de Shib IDP avec l'annuaire central central

> Connecteur d'authentification et connecteur > Connecteur d'authentification et connecteur de récupération d'attributsde récupération d'attributs

> Connexion avec des Services Webs> Connexion avec des Services Webs

> Système de OTP avec Shib et la base de > Système de OTP avec Shib et la base de donnée centraliséedonnée centralisée

Implémentation coté Drupal/SP

> Assez Simple → activation du module> Assez Simple → activation du module

> Mapping des attributs avec les champs > Mapping des attributs avec les champs DrupalDrupal

> Utilisation des champs pour affecter la > Utilisation des champs pour affecter la taxonomie aux utilisateurstaxonomie aux utilisateurs

> Utilisation massive de TAC pour gérer les > Utilisation massive de TAC pour gérer les rôles et droits rôles et droits

Prochaines étapes du Projet

> Connecter Shibboleth avec Moodle et > Connecter Shibboleth avec Moodle et Google AppsGoogle Apps

> Simplement le matin de se logger et juste > Simplement le matin de se logger et juste naviguer entre les services sans naviguer entre les services sans authentificationauthentification

Des Questions ?

Merci pour votre attentionnbocquet@linalis.com