FEDERATION - Shibboleth : Différence entre versions
De PedroWiki
m (→Fournisseur de service: le SP) |
m (a renommé Shibboleth en FEDERATION - Shibboleth: Unification nommage articles) |
||
(Une révision intermédiaire par le même utilisateur non affichée) | |||
Ligne 31 : | Ligne 31 : | ||
** 1 session du côté système d'authentification sous-jacent à l'IdP (CAS par exemple). | ** 1 session du côté système d'authentification sous-jacent à l'IdP (CAS par exemple). | ||
** éventuellement 1 session "applicative" du côté service web ayant nécessité l'authentification. | ** éventuellement 1 session "applicative" du côté service web ayant nécessité l'authentification. | ||
− | * SLO: Single LOgout. Mécanisme permettant de clore '''toutes''' les sessions ouvertes, annoncé avec la version 2.x de l'IdP mais non encore développée à ce jour. Principe: le logout de l'application, par l'appel à une URL pointant sur le SP, permettrais de déclencher une série de demandes de fermetures vers tous les acteurs cités plus haut. '''ATTENTION''' à l'heure actuelle, uniquement fermeture de session du côté SP. | + | * SLO: Single LOgout. Mécanisme permettant de clore '''toutes''' les sessions ouvertes, annoncé avec la version 2.x de l'IdP mais non encore développée à ce jour. Principe: le logout de l'application, par l'appel à une URL pointant sur le SP, permettrais de déclencher une série de demandes de fermetures vers tous les acteurs cités plus haut. '''ATTENTION''' à l'heure actuelle, uniquement fermeture de session du côté SP (pour tous les services web basant leur authentification sur ce SP, suppression de cookies). |
= Liens utiles = | = Liens utiles = |
Version actuelle datée du 5 mars 2009 à 16:04
Sommaire
Introduction
Fédération d'identité: (A REDIGER, cf notes en fin de TP de formation)
Sibboleth, définition: (A REDIGER)
Structure
2 parties principales: l'IdP et le SP.
Fournisseur d'Identité: l'IdP
Un IdP pour chaque stucture participant à la fédération.
L'IdP s'appuie sur le système d'authentification de la structure (par exemple SSO CAS).
Il transmet aux SP une validation du login, ainsi que potentiellement des attributs.
Fournisseur de service: le SP
Un SP pour chaque service utilisant l'authentification Shibboleth (Possibilité d'utiliser un "proxy", 1 SP frontal pour plusieurs services sous-jacents).
Le SP est un module pluggable dans Apache ou IIS, et qui permet par de la configuration côté serveur de protéger par Shibboleth des services web.
Remarques
- L'utilisation du SP pour l'authentification sur un service web est à développer du coté applicatif (service web).
- L'utilisation de l'authentification Shibboleth occasionne l'ouverture de plusieurs sessions:
- 1 session du côté SP
- 1 session du côté IdP
- 1 session du côté système d'authentification sous-jacent à l'IdP (CAS par exemple).
- éventuellement 1 session "applicative" du côté service web ayant nécessité l'authentification.
- SLO: Single LOgout. Mécanisme permettant de clore toutes les sessions ouvertes, annoncé avec la version 2.x de l'IdP mais non encore développée à ce jour. Principe: le logout de l'application, par l'appel à une URL pointant sur le SP, permettrais de déclencher une série de demandes de fermetures vers tous les acteurs cités plus haut. ATTENTION à l'heure actuelle, uniquement fermeture de session du côté SP (pour tous les services web basant leur authentification sur ce SP, suppression de cookies).