Fédération d'identités - Yann Desmarest - eValais.ch

La page est créée Vincent Perrier
Style de vie
Français
 
CONTINUER À LIRE
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Fédération d'identités - Yann Desmarest - eValais.ch
Fédération d’identités
Yann Desmarest
Fédération d'identités - Yann Desmarest - eValais.ch
What is ID Federation ? / Introduction

•

                                         2
Fédération d'identités - Yann Desmarest - eValais.ch
Et pendant ce temps la...
Fédération d'identités - Yann Desmarest - eValais.ch
Et maintenant ?
Fédération d'identités - Yann Desmarest - eValais.ch
Sans oublier...
Fédération d'identités - Yann Desmarest - eValais.ch
Fédérer les identités

    basic      HTTP form   NTLM v2   Kerberos

                                                6
Fédération d'identités - Yann Desmarest - eValais.ch
Fédérer les identités

FEDERATION

     basic      HTTP form   NTLM v2   Kerberos

                                                 7
Fédération d'identités - Yann Desmarest - eValais.ch
Cloud App

 Fédérer les identités

FEDERATION

     basic      HTTP form   NTLM v2   Kerberos

                                                  8
Fédération d'identités - Yann Desmarest - eValais.ch
Cloud App

 Fédérer les identités

FEDERATION

     basic      HTTP form   NTLM v2   Kerberos

                                                  9
Fédération d'identités - Yann Desmarest - eValais.ch
Scénarios typiques

• Mettre en place du SSO entre les applications métiers

• Intégrer les applicatoins Cloud avec les solutions d’authentification interne

• Déléguer la gestion des authentifications à des tiers

                                                                                  10
Standards

• Security Assertion Markup Language 2.0 – SAML 2.0

• OAuth 2.0

• OpenID Connect 1.0

                                                      11
Mythes

• MYTHE #1 : J’ai implémenté une authentification SAML

• MYTHE #2 : J’authentifie mes utilisateurs avec OAuth

                                                         12
SAML 2.0

    Fait parti du processus d’authentification

    Protocole destiné au SSO pour les Navigateurs Web

    Basé sur XML et SOAP

    Beaucoup - trop - de possibilités d’intégrations

    C’est un standard qui n’est pas implémenté de facon standard par les éditeurs

                                                                                    13
SAML 2.0 / Roles

  Service              Identity
  Provider    Client   Provider

                                  14
SAML 2.0 / Implémentations

                             Enhanced
     IDP          SP          Client or
  Initiated   Initiated        Proxy

                                          15
SAML 2.0

    Microsoft a choisi d’implémenter...

                                          16
SAML 2.0
Mais aussi SAML 1.1 aka WS-Fed
  CRM Dynamics, Sharepoint, Skype For Business
OAuth 2.0

    Une application demande un accès à des informations fournie par des APIs à la
    place de l’utilisateur

    L’utilisateur doit donner son consentement

    Client, Ressource, IDP

    Specifications vagues sur certains points (Token)

    C’est un framework d’autorisation décrit par la norme RFC 6749

                                                                                19
OAuth 2.0 / Roles

  Resource              Resource   Authorization
   Owner       Client    Server      Server

                                              20
OAuth 2.0 / Grant types

                              Resource
  Authorization                Owner         Client
      Code        Implicit    Password     Credentials
                             Credentials

                                                     21
OAuth 2.0 / Authorization Code

                    User
                 (Resource
                  Owner)                 1: User Authorization Request

                                         2: User Authorizes Application

                    3: Authorization Code Grant

                    4: Access Token Request
Application
                    5: Access Token Grant                                 Auth.
 (Client)
                                                                          Server
                                                                              22
OAuth 2.0 / Authorization Code

 1. https://api.e-xpertsolutions.com/oauth/v2/authorize
    ?response_type=code
    &client_id=1234
    &redirect_uri=https://myapp.com/callback
    &scope=user:name user:email user:avatar
 2. User clicks on «Accept»
 3. https://myapp.com/callback
    ?code=42xDFg2JAS24vaj2aAnIPJ3iso4
 4. https://api.e-xpertsolutions.com/oauth/v2/token
    ?client_id=1234
    &client_secret=abcd
    &grant_type=authorization_code
    &code=42xDFg2JAS24vaj2aAnIPJ3iso4
    &redirect_uri=https://myapp.com/callback
 5. Auth. Server POST the token to the redirect URI

                                                          23
OpenID Connect 1.0

 
     Introduit un nouveau token
        ID Token
 
     Force l’utilisation de JWT
 
     ID Token est pour l’identité uniquement

                                               24
JSON Web Token / JWT

      Header               Payload                Signature
                       {                      HMAC(
                        "iss": “e-             Base64(Header)
{                      xpertsolutions.com",
    "typ": "JWT" ,      "exp": 2807819340,
                        "name": "Kevin
                                                  .
    "alg": "HS256"
                       Gillieron",                Base64(Payload),
}
                        "admin": true             Secret Key
                       }                      )

eyJ0eXAiOiJKV1QiLCJh   eyJpc3MiOiDigJxlLXh    CbJx42Jpc3MDigJxlLP
bGciOiJIUzI1NiJ9       wZXJ0c29sdXRb…         hwqJ0Q23s6FRb… 25
JWT

      Security relies on        Digital            Encryption
      digital signature       signature           Possible (JWE)

       Asymetric           Authentication      Confidentiality
                            Non-                Bigger token
        Key (RSA)
                             repudiation         More Complex
                            Integrity           AES256 GCM
                                                 RSA-OAEP

                                                                    26
Use case #1 : Sécuriser l’identification dans Office365

                                                          27
Use case #1 : Sécuriser l’identification dans Office365

    Politique d’accès granulaire


    Authentification Multi-Facteur


    Inspection du endpoint


    Authentification par certificat

                                                          28
Use case #2 : SSO avec Salesforce


    F5 APM est l’Identity Provider


    Salesforce est le Service Provider


    Ajout d’un mécanisme d’authentification forte

                                                    29
Use case #2 : SSO avec App Cloud

    Salesforce

    Tableau Software

    Success Factor

    Concur

    Ping Identity

    Office 365

    SimplePHP

    Shibboleth, ...
                                   30
Use case #3 : Intégration avec Azure AD

                                          31
Use case #4 : Protection des APIs

    Publier des APIs SOAP & REST pour que les clients accèdent à leurs données
    à travers une application mobile


    Utilisation de OAuth 2.0 pour autoriser l’application mobile à accéder aux APIs


    Design, rédaction des spécifications, implémentation des spécifications

                                                                                      32
Use case #4 : Protection des APIs

    Création d’un service d’enregistrement des applications mobiles


    Utilisation de F5 APM
        Authorization Server
        Resource Server

                                                                      33
Use case #5 : Social Login

    Ajout d’un mécanisme d’authentification des utilisateurs via leur compte social
    (Facebook, Google, Microsoft, Twitter, …)


    Utilisation de F5 APM


    Application B2C


    Attention au Mot de passe
                                                                                      34
Questions?

             35
Vous pouvez aussi lire
Guide lettre de voiture CIM transport combiné - (GLV-TC) - Etat au 1er octobre 2009
Guide lettre de voiture CIM transport combiné - (GLV-TC) - Etat au 1er octobre 2009
UNA PASSIONE SEMPRE FRESCA - DI VITA SPA
UNA PASSIONE SEMPRE FRESCA - DI VITA SPA
TWINT - La performante solution suisse de paiement mobile - Plus qu'une solution de paiement - SIX Payment Services
TWINT - La performante solution suisse de paiement mobile - Plus qu'une solution de paiement - SIX Payment Services
TWINT - La performante solution suisse de paiement mobile - Plus qu'une solution de paiement - SIX Payment Services
TWINT - La performante solution suisse de paiement mobile - Plus qu'une solution de paiement - SIX Payment Services
TWINT - La performante solution suisse de paiement mobile - Plus qu'une solution de paiement - SIX Payment Services
TWINT - La performante solution suisse de paiement mobile - Plus qu'une solution de paiement - SIX Payment Services
Guide du client - Canada Post
Guide du client - Canada Post
OSF Integrator for Demandware and Canada Post - Guide d'intégration
OSF Integrator for Demandware and Canada Post - Guide d'intégration
Présentation de la solution client/serveur Mobilegov
Présentation de la solution client/serveur Mobilegov
Encryption Configuration requise v10.1 - Dell
Encryption Configuration requise v10.1 - Dell
GLV-CIM Guide lettre de voiture CIM - CIT-Rail.org
GLV-CIM Guide lettre de voiture CIM - CIT-Rail.org
Guide lettre de voiture CIM - (GLV-CIM) Etat 1er juillet 2019 - CIT-Rail.org
Guide lettre de voiture CIM - (GLV-CIM) Etat 1er juillet 2019 - CIT-Rail.org
Acronis Cyber Cloud 21.02 - GUIDE DE L'ADMINISTRATEUR PARTENAIRE Révision :12/03/2021
Acronis Cyber Cloud 21.02 - GUIDE DE L'ADMINISTRATEUR PARTENAIRE Révision :12/03/2021
Guide lettre de voiture CIM - (GLV-CIM) Etat 1er juillet 2019 - CIT-Rail.org
Guide lettre de voiture CIM - (GLV-CIM) Etat 1er juillet 2019 - CIT-Rail.org
HDFX200 HDTX200 HD DIGITAL TRIAX CCU ADAPTOR HD DIGITAL TRIAX CAMERA ADAPTOR - OPERATION MANUAL French - pro.sony
HDFX200 HDTX200 HD DIGITAL TRIAX CCU ADAPTOR HD DIGITAL TRIAX CAMERA ADAPTOR - OPERATION MANUAL French - pro.sony
PREREQUIS TECHNIQUES - Sigma
PREREQUIS TECHNIQUES - Sigma
FICHES FISCALES 2018 - Mise à jour du 29-05-2018 SPF PERSONNEL ET ORGANISATION PERSOPOINT - TRAITEMENTS
FICHES FISCALES 2018 - Mise à jour du 29-05-2018 SPF PERSONNEL ET ORGANISATION PERSOPOINT - TRAITEMENTS
Aruba Instant On 2.2.0 Guide de l'utilisateur
Aruba Instant On 2.2.0 Guide de l'utilisateur
PIX/ASA : Exemple de configuration de DNS Doctoring avec la commande static et deux interfaces NAT
PIX/ASA : Exemple de configuration de DNS Doctoring avec la commande static et deux interfaces NAT
Licensing Information User Manual Oracle Hardware Management Pack 2.4 - Oracle Docs
Licensing Information User Manual Oracle Hardware Management Pack 2.4 - Oracle Docs
Protection des accès distants avec les services de quarantaine
Protection des accès distants avec les services de quarantaine
Guide lettre de voiture - CIM/SMGS (GLV-CIM/SMGS) - The CIT
Guide lettre de voiture - CIM/SMGS (GLV-CIM/SMGS) - The CIT
U2F2 : Prévenir la Menace Fantôme sur FIDO/U2F - Sstic
U2F2 : Prévenir la Menace Fantôme sur FIDO/U2F - Sstic
Sécurité Oracle Gérard Schaller - |Grifes 28 Octobre 2003
Sécurité Oracle Gérard Schaller - |Grifes 28 Octobre 2003
Comment produire le feuillet T4 et le Sommaire - Guide de l'employeur - Canada.ca
Comment produire le feuillet T4 et le Sommaire - Guide de l'employeur - Canada.ca
QLIKVIEW MOBILE CLIENT - QLIKVIEW 195 - 2018-12-11 21:23:48 COPYRIGHT 1993-2018 QLIKTECH INTERNATIONAL AB. TOUS DROITS RÉSERVÉS - QLIK | HELP
QLIKVIEW MOBILE CLIENT - QLIKVIEW 195 - 2018-12-11 21:23:48 COPYRIGHT 1993-2018 QLIKTECH INTERNATIONAL AB. TOUS DROITS RÉSERVÉS - QLIK | HELP
ASP .NET MVC Développement d'une application Web avec
ASP .NET MVC Développement d'une application Web avec
Migration de Visual SourceSafe vers Team Foundation Server - Les avantages de la migration vers une plateforme moderne
Migration de Visual SourceSafe vers Team Foundation Server - Les avantages de la migration vers une plateforme moderne
Guide d'utilisation du portail pour les entreprises - 3SKey - Swiftnet
Guide d'utilisation du portail pour les entreprises - 3SKey - Swiftnet
Guide VMware AirWatch pour la plateforme Android - VMware Docs
Guide VMware AirWatch pour la plateforme Android - VMware Docs
Red Hat Network Satellite 5.4 Guide de configuration du client - Red Hat Network Satellite Édition 1 Landmann
Red Hat Network Satellite 5.4 Guide de configuration du client - Red Hat Network Satellite Édition 1 Landmann
Aménagement de peine Application de peine Placement sous surveillance électronique mobile
Aménagement de peine Application de peine Placement sous surveillance électronique mobile
Windows 10 Enterprise 2019 LTSC pour clients légers Dell Wyse - Guide de l'administrateur
Windows 10 Enterprise 2019 LTSC pour clients légers Dell Wyse - Guide de l'administrateur
Kit SDK AWS Mobile Manuel du développeur Xamarin - Kit SDK AWS Mobile: Manuel du développeur Xamarin - Manuel du développeur Xamarin
Kit SDK AWS Mobile Manuel du développeur Xamarin - Kit SDK AWS Mobile: Manuel du développeur Xamarin - Manuel du développeur Xamarin
Guide d'administration de l'application de bureau virtuel Cisco Webex Meetings 39.3
Guide d'administration de l'application de bureau virtuel Cisco Webex Meetings 39.3
VUE D'ENSEMBLE DES PRODUITS 2020 - Avec THOMSIT, réalisez des sols parfaits !
VUE D'ENSEMBLE DES PRODUITS 2020 - Avec THOMSIT, réalisez des sols parfaits !
L'ESSENTIEL MARINE SOLUTIONS POUR LES PROFESSIONNELS - LE CHOIX DES PROFESSIONNELS - Sika France
L'ESSENTIEL MARINE SOLUTIONS POUR LES PROFESSIONNELS - LE CHOIX DES PROFESSIONNELS - Sika France
Analyse du Nouveau Code Forestier Ivoirien - Juin 2016 - ALERTE Foncier
Analyse du Nouveau Code Forestier Ivoirien - Juin 2016 - ALERTE Foncier
Code de l'urbanisme de la collectivité de Saint-Martin - COLLECTIVITE DE SAINT-MARTIN
Code de l'urbanisme de la collectivité de Saint-Martin - COLLECTIVITE DE SAINT-MARTIN
Kaspersky Mobile Security - Guide de l'utilisateur
Kaspersky Mobile Security - Guide de l'utilisateur
GAMME INDUSTRIE 2021 - Soloplast-Vosschemie
GAMME INDUSTRIE 2021 - Soloplast-Vosschemie
Utilisation de VMware Horizon Client pour Chrome OS
Utilisation de VMware Horizon Client pour Chrome OS
Un modèle de tokenisation basé sur la chaîne de blocs pour la traçabilité et la conformité de la collecte de données
Un modèle de tokenisation basé sur la chaîne de blocs pour la traçabilité et la conformité de la collecte de données
Guide de l'administrateur des clients pour Windows - Citrix Presentation Server Clients 10.x pour Windows
Guide de l'administrateur des clients pour Windows - Citrix Presentation Server Clients 10.x pour Windows
Droits d'Utilisation pour le Prestataire de Services 1 janvier 2017 - Volume Licensing
Droits d'Utilisation pour le Prestataire de Services 1 janvier 2017 - Volume Licensing
AWSToolkit for VS Code - Guide de l'utilisateur - AWS ...
AWSToolkit for VS Code - Guide de l'utilisateur - AWS ...
Payment Application Data Security Standard - Payment Card Industry (PCI) Conditions et procédures d'évaluation de sécurité
Payment Application Data Security Standard - Payment Card Industry (PCI) Conditions et procédures d'évaluation de sécurité
Guide d'administration de Workspace ONE Boxer - VMware Workspace ONE UEM - VMware ...
Guide d'administration de Workspace ONE Boxer - VMware Workspace ONE UEM - VMware ...
Descriptif des prestations Solution Cloud Divalto infinity
Descriptif des prestations Solution Cloud Divalto infinity
Kaspersky Tablet Security - pour Android - Guide de l'utilisateur
Kaspersky Tablet Security - pour Android - Guide de l'utilisateur
Tax Filing Guide Ninepoint Flow-Through LPs - Ninepoint Partners
Tax Filing Guide Ninepoint Flow-Through LPs - Ninepoint Partners