Drupal 7 et les SSO

40
Drupal et les SSO Nicolas Bocquet < [email protected] > Www.linalis.com

Transcript of Drupal 7 et les SSO

Page 1: Drupal 7 et les SSO

Drupal et les SSO

Nicolas Bocquet < [email protected] >

Www.linalis.com

Page 2: Drupal 7 et les SSO

Sommaire

● Présentation de Linalis

● Le SSO

● Les différentes implémentations majeures

● Drupal & Consort

● Retour d'expérience sur projet

Page 3: Drupal 7 et les SSO

Nicolas Bocquet

Responsable Pôle WebResponsable Pôle Web

@Nicolas_Bocquet

Pour suivre nos prochains evénements et formations@linalis

Page 4: Drupal 7 et les SSO

• Opération en Suisse & France depuis 2002

• Domaines d'expertises:Domaines d'expertises:

Web Communications, Business Intelligence

• Activité :

– Services : Consulting, development, systems integration

• Support & Maintenance, both on site & remote

– Training : Certified training center for public and customised

• Pentaho BI, Acquia Drupal & Linux Professional Institute

– Recruitement : Providing IT Project resources and permanent recruitment services

Qui Sommes Nous ?Qui Sommes Nous ?

Page 5: Drupal 7 et les SSO

Web Communications

CMS

Custom development

Graphic integration

Web architecture

Analytics

Page 6: Drupal 7 et les SSO

Business Intelligence

Data extraction

Analytics

Reporting

Dashboards

Page 7: Drupal 7 et les SSO

Single Sign On

Page 8: Drupal 7 et les SSO

Parlons plutôt de Web SSO

> > Système d'authentification uniqueSystème d'authentification unique que pour le WEB

>> un seul login / mot de passe = plusieurs un seul login / mot de passe = plusieurs sitessites

> Prouver que le client est bien authentifiéProuver que le client est bien authentifié

Page 9: Drupal 7 et les SSO

Simplification de l'utilisation

Page 10: Drupal 7 et les SSO

Amélioration de la sécurité

Page 11: Drupal 7 et les SSO

Facilité pour les gestionnaires

Page 12: Drupal 7 et les SSO

Mais avec différentes fonctionnalités

> > Récupération d'attributsRécupération d'attributs

>> Gestion des groupes et rôles Gestion des groupes et rôles

> Cercle de confiance

> Création de compte automatique

Page 13: Drupal 7 et les SSO

Quelques différentes implémentations

Page 14: Drupal 7 et les SSO

OPENID

>> Système utilisé par le grand Public Système utilisé par le grand Public

>> le Login contient l'url du service le Login contient l'url du service d'authentificationd'authentification

> Utilise les redirection HTTP

> Requiert ou non un serveur d'authentification

http://openid.net

Page 15: Drupal 7 et les SSO

OPENID

>> Partage d'attributs avec confirmation de Partage d'attributs avec confirmation de l'utilisateurl'utilisateur

> > Utiliser par de gros player (Yahoo, FB, Utiliser par de gros player (Yahoo, FB, Google, Orange Labs) Google, Orange Labs)

> Moyennement adopté> Moyennement adopté

Page 16: Drupal 7 et les SSO

CAS

> > Central Authentication Service

>> Développé initialement par YALE Développé initialement par YALE

> Système de ticketing proche de Kerberos

> Ne permet pas de partage d'attributs

> Possibilité de proxyfication

http://www.ja-sig.org/cas

Page 17: Drupal 7 et les SSO

Shibboleth / SAML

> Développé par Internet2> Développé par Internet2

> > Security Assertion Markup LanguageSecurity Assertion Markup Language

>> Fédération d'identité Fédération d'identité

>> 2 objectifs 2 objectifs•Déléguer l'authentificationDéléguer l'authentification•Partager des attributsPartager des attributs

http://shibboleth.internet2.edu/

Page 18: Drupal 7 et les SSO

Shibboleth

> > Gros socle organisationnelGros socle organisationnel•Gestion de la confiance dans le cercleGestion de la confiance dans le cercle

>> IDP et SP IDP et SP

> > Choix des attributs par SP Choix des attributs par SP

Page 19: Drupal 7 et les SSO

Et les autres

> > OauthOauth

> > Facebook ConnectFacebook Connect

> > TwitterTwitter

> > le votrele votre

Page 20: Drupal 7 et les SSO

ShibbolethEt Drupal avec Cela

Page 21: Drupal 7 et les SSO

Drupal, le SSO en multi-site

> Ne demande aucun module supplémentaire> Ne demande aucun module supplémentaire

> Ne fonctionne que avec des sites Drupal> Ne fonctionne que avec des sites Drupal

> Avec le même domaine

> Partage des tables dans la base de données

Page 22: Drupal 7 et les SSO

OpenID, une solution intégrée

> Module fournis dans la distribution standard> Module fournis dans la distribution standard

> Activation en un clic> Activation en un clic

> Marche avec tous les IDP OpenID grand public

Page 23: Drupal 7 et les SSO

CAS et sa facilité de mise en œuvre

> Module cas à installer > Module cas à installer http://drupal.org/project/cashttp://drupal.org/project/cas> Demande une création du compte local > Demande une création du compte local avantavant

> Peut être utiliser en collaboration avec > Peut être utiliser en collaboration avec LDAP pour la gestion des rôlesLDAP pour la gestion des rôles

> Mise en place assez simple dans une petite > Mise en place assez simple dans une petite communauté et avec des applications communauté et avec des applications cassifiéscassifiés

Page 24: Drupal 7 et les SSO
Page 25: Drupal 7 et les SSO

Shibboleth, sa puissance de feu

> Module shib_auth à installer> Module shib_auth à installerhttp://drupal.org/project/shib_authhttp://drupal.org/project/shib_auth

> Mise en place du Service Provider sur le > Mise en place du Service Provider sur le serveur ainsi qu'un mod_shib pour le serveur ainsi qu'un mod_shib pour le VirtualHostVirtualHost

> Configuration demandant quelques > Configuration demandant quelques paramètresparamètres

Page 26: Drupal 7 et les SSO

Shibboleth, sa puissance de feu

> Création et mise à jour des comptes> Création et mise à jour des comptes

> Mapping des attributs avec les champs > Mapping des attributs avec les champs DrupalDrupal

> Synchronisation des rôles dans Drupal> Synchronisation des rôles dans Drupal

> Logout vers une url sur l'IDP> Logout vers une url sur l'IDP

Page 27: Drupal 7 et les SSO
Page 28: Drupal 7 et les SSO
Page 29: Drupal 7 et les SSO

Retour d'expérience à l’École Internationale de Genève

Page 30: Drupal 7 et les SSO

Les difficultés

> Processus de gestion des comptes Parents> Processus de gestion des comptes Parents > Démarrage en cours d'année> Démarrage en cours d'année > Activation manuel> Activation manuel

> Besoin de donner l'édition des pages au > Besoin de donner l'édition des pages au StaffStaff

> Besoin de simplicité car les personnes sont > Besoin de simplicité car les personnes sont sur 3 sites différents sur 3 sites différents

Page 31: Drupal 7 et les SSO

Le contexte du Projet

> Site vieillissant en ColdFusion> Site vieillissant en ColdFusion

> Envie d'héberger en Interne le site Web> Envie d'héberger en Interne le site Web

> Site comprenant un site Public et un > Site comprenant un site Public et un intranet pour les parents et le staffintranet pour les parents et le staff

Page 32: Drupal 7 et les SSO

Implémentation de Shib coté Shib

> Intégration de Shib IDP avec l'annuaire > Intégration de Shib IDP avec l'annuaire central central

> Connecteur d'authentification et connecteur > Connecteur d'authentification et connecteur de récupération d'attributsde récupération d'attributs

> Connexion avec des Services Webs> Connexion avec des Services Webs

> Système de OTP avec Shib et la base de > Système de OTP avec Shib et la base de donnée centraliséedonnée centralisée

Page 33: Drupal 7 et les SSO

Implémentation coté Drupal/SP

> Assez Simple → activation du module> Assez Simple → activation du module

> Mapping des attributs avec les champs > Mapping des attributs avec les champs DrupalDrupal

> Utilisation des champs pour affecter la > Utilisation des champs pour affecter la taxonomie aux utilisateurstaxonomie aux utilisateurs

> Utilisation massive de TAC pour gérer les > Utilisation massive de TAC pour gérer les rôles et droits rôles et droits

Page 34: Drupal 7 et les SSO
Page 35: Drupal 7 et les SSO
Page 36: Drupal 7 et les SSO
Page 37: Drupal 7 et les SSO
Page 38: Drupal 7 et les SSO

Prochaines étapes du Projet

> Connecter Shibboleth avec Moodle et > Connecter Shibboleth avec Moodle et Google AppsGoogle Apps

> Simplement le matin de se logger et juste > Simplement le matin de se logger et juste naviguer entre les services sans naviguer entre les services sans authentificationauthentification

Page 39: Drupal 7 et les SSO

Des Questions ?

Page 40: Drupal 7 et les SSO

Merci pour votre [email protected]