FEDERATION - Shibboleth

De PedroWiki

Sommaire

Introduction

Fédération d'identité: (A REDIGER, cf notes en fin de TP de formation)

Sibboleth, définition: (A REDIGER)

Structure

2 parties principales: l'IdP et le SP.

Fournisseur d'Identité: l'IdP

Un IdP pour chaque stucture participant à la fédération.

L'IdP s'appuie sur le système d'authentification de la structure (par exemple SSO CAS).

Il transmet aux SP une validation du login, ainsi que potentiellement des attributs.

Fournisseur de service: le SP

Un SP pour chaque service utilisant l'authentification Shibboleth (Possibilité d'utiliser un "proxy", 1 SP frontal pour plusieurs services sous-jacents).

Le SP est un module pluggable dans Apache ou IIS, et qui permet par de la configuration côté serveur de protéger par Shibboleth des services web.

Remarques

  • L'utilisation du SP pour l'authentification sur un service web est à développer du coté applicatif (service web).
  • L'utilisation de l'authentification Shibboleth occasionne l'ouverture de plusieurs sessions:
    • 1 session du côté SP
    • 1 session du côté IdP
    • 1 session du côté système d'authentification sous-jacent à l'IdP (CAS par exemple).
    • éventuellement 1 session "applicative" du côté service web ayant nécessité l'authentification.
  • SLO: Single LOgout. Mécanisme permettant de clore toutes les sessions ouvertes, annoncé avec la version 2.x de l'IdP mais non encore développée à ce jour. Principe: le logout de l'application, par l'appel à une URL pointant sur le SP, permettrais de déclencher une série de demandes de fermetures vers tous les acteurs cités plus haut. ATTENTION à l'heure actuelle, uniquement fermeture de session du côté SP (pour tous les services web basant leur authentification sur ce SP, suppression de cookies).

Liens utiles

Les FAQ "Fédération d'identité" du CRU

Outils personnels