1 / 23

Le mécanisme de Single Sign-On CAS (Central Authentication Service)

Le mécanisme de Single Sign-On CAS (Central Authentication Service). ESUP Portail – groupe SSO - Pascal Aubry. Table des matières. Le mécanisme SSO CAS – groupe SSO. Accueil. Plan. Généralités Fonctionnement de base Tickets utilisés URLs utilisées Premier accès à une application

adila
Download Presentation

Le mécanisme de Single Sign-On CAS (Central Authentication Service)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Le mécanisme de Single Sign-On CAS(Central Authentication Service) ESUP Portail – groupe SSO - Pascal Aubry

  2. Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Plan • Généralités • Fonctionnement de base • Tickets utilisés • URLs utilisées • Premier accès à une application • Accès suivants à la même application • Accès à une autre application • Fonctionnement multi-tiers • Tickets utilisés • Premier accès à un mandataire • Accès suivants à un mandataire • Avec session entre mandataire et service

  3. Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Généralités • Sous forme de servlets java • Ne traite que l’authentification(mais extensions à priori aisées) • S’intègre dans uportal sans développement • Utilisé par différentes universités américaines • Fonctionnalité de proxy très intéressante • Nombreuses bibliothèques clientes • perl, java, pl-sql, PHP, … • Modules apache et pam

  4. Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Fonctionnement de base • Similaire aux autres mécanismes de SSO, mais • Utilisation de tickets opaques • Sécurité accrue • Pas de fonctionnement multi-tier • Nécessite un « contact » direct entre l’application ayant besoin d’authentification et le navigateur web

  5. Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Tickets utilisés • TGC : Ticket Granting Ticket (Cookie) • Valable pour un utilisateur • Cookie de session privé et protégé (https)du serveur CAS vers le navigateur • Permet d’obtenir les ST • Évite les ré-authentifications (rejouable) • ST : Service Ticket • Valable pour un service et un utilisateur • Authentifie une personne, pour une application (une URL) • À usage unique (non rejouable)

  6. Table des matières Le mécanisme SSO CAS – groupe SSO Accueil URLs utilisées • /Login : connexion, HTTPS • En cas de succès, positionnement du TGC • Permet d’éviter une ré authentification • /Logout : déconnexion, HTTP(S) • Suppression du TGC • Suppression des références de l’utilisateurau niveau du serveur CAS • /Validate (ou /serviceValidate), HTTP(S) • Passage du ST pour validation • Retour de l’identifiant de l’utilisateur • Invalidation du ST navigateursweb applications

  7. pas de TGC redirection (GET) formulaire d’authentification ID appli 1 premier accès(sans ST ni session applicative) ID appli 1 ID appli 1 Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà une application serveur CAS application 1 based’authentification Sans TGC, l’utilisateur doit s’authentifier auprès du serveur CAS client web

  8. ST demande de validation redirection(GET) demande d’authentification (HTTPS) accès avec ST TGC ST password ST user ID appli 1 Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà une application identification TGC ST serveur CAS application 1 based’authentification authentification Le ST doit être validé par le serveur CAS TGC Le TGC (rejouable) est stocké par le navigateur client web

  9. identification ST demande de validation redirection(GET) ID session 1 demande d’authentification (HTTPS) accès avec ST TGC page web ST password ST user ID appli 1 Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà une application identification TGC Le ST (non rejouable) est supprimé serveur CAS application 1 based’authentification création d’une session applicative authentification ID session 1 identification TGC L’identificateur de session est stocké sur le navigateur ID session 1 client web

  10. accès avec session applicative page web ID session 1 Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Accès suivantsà la même application identification TGC serveur CAS application 1 based’authentification ID session 1 identification Les applications gèrent ensuite leurs propres sessions TGC ID session 1 client web

  11. accès avec TGC ID appli 2 TGC redirection (GET) ID appli 2 premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Accès à uneautre application identification TGC ST serveur CAS based’authentification Le TGC est connu, un nouveau ST est généré TGC ID session 1 client web application 2

  12. accès avec TGC demande de validation redirection (GET) ID appli 2 ST TGC ST accès avec ST ST redirection (GET) ID appli 2 premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Accès à uneautre application identification TGC ST serveur CAS based’authentification Le ST doit être validé par le serveur CAS TGC ID session 1 client web application 2

  13. identification accès avec TGC demande de validation redirection (GET) ID appli 2 ST TGC ST accès avec ST ST redirection (GET) page web ID appli 2 ID session 2 premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Accès à uneautre application identification TGC Le ST (non rejouable) est supprimé Le TGC permet ensuite l’accès à d’autres applications sansré-authentification Toutes les redirections sont transparentes pour l’utilisateur serveur CAS based’authentification création d’une session applicative TGC ID session 2 identification ID session 1 ID session 2 client web application 2

  14. Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Le fonctionnement multi-tiers • Possibilité pour une application (mandataire) d’interroger une autre application (service) • Aucun lien n’est nécessaire entre le navigateur et l’application tiers • Possibilité de chaîner les mandataires

  15. Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Tickets utilisés • TGC : Ticket Granting Ticket • ST : Service Ticket • PGT : Proxy Granting Ticket • Valable pour un utilisateur • Envoyé par le serveur CAS à une appli proxy CAS • Permet d’obtenir les PT • Évite les ré-authentifications des applications (rejouable) • PT : Proxy Ticket • Valable pour un service et un utilisateur • Équivalent du ST pour les mandataires • Utilisé pour les services n’ayant pas de lien avec le navigateur

  16. accès avec TGC demande de validation ID mand. ST TGC redirection (GET) ST accès avec ST ST redirection (GET) ID mand. premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà un mandataire identification TGC ST application 2(service) serveur CAS based’authentification TGC client web application 1(mandataire)

  17. PGT accès avec TGC identification PGT id demande de validation ID mand. PGT id ST TGC redirection (GET) ST accès avec ST ST redirection (GET) ID mand. premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà un mandataire identification TGC PGT application 2(service) Le PGT est envoyé à travers un canal chiffré séparé pour assurer l’identité du mandataire serveur CAS based’authentification TGC client web application 1(mandataire)

  18. demande de PT PGT ID appli 2 accès avec TGC identification demande de validation PGT ID mand. ST TGC redirection (GET) ST accès avec ST ST redirection (GET) ID mand. premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà un mandataire identification TGC PGT application 2(service) serveur CAS based’authentification Le PGT est stocké sur le mandataire Il permet d’obtenir un PT TGC PGT client web application 1(mandataire)

  19. PT demande de PT Accèsavec PT PGT ID appli 2 accès avec TGC identification PT demande de validation PGT ID mand. ST TGC redirection (GET) ST accès avec ST ST redirection (GET) ID mand. premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà un mandataire identification TGC PGT PT application 2(service) serveur CAS based’authentification Le PT doit être validé par le serveur CAS TGC PGT client web application 1(mandataire)

  20. PT demande de validation PT demande de PT Accèsavec PT PGT ID appli 2 accès avec TGC identification PT demande de validation PGT ID mand. ST TGC redirection (GET) ST accès avec ST ST redirection (GET) ID mand. premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà un mandataire identification TGC PGT PT application 2(service) serveur CAS based’authentification TGC PGT client web application 1(mandataire)

  21. identification PT demande de validation PT demande de PT Accèsavec PT PGT ID appli 2 accès avec TGC identification PT demande de validation PGT ID mand. ST TGC redirection (GET) ST accès avec ST ST redirection (GET) page web ID mand. ID session premier accès(sans ST ni session applicative) Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Premier accèsà un mandataire identification TGC PGT application 2(service) serveur CAS based’authentification Toutes les redirections sont transparentes pour l’utilisateur création d’une session applicative TGC PGT ID session ID session identification client web application 1(mandataire)

  22. identification PT demande de validation PT Accèsavec PT demande de PT PT ID appli 2 PGT ID session 1 page web Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Accès suivantsà un mandataire identification TGC PGT application 2(service) serveur CAS based’authentification TGC PGT ID session ID session identification client web application 1(mandataire)

  23. accès avecsession applicative ID session 2 ID session 1 page web Table des matières Le mécanisme SSO CAS – groupe SSO Accueil Avec session entre mandataire et service identification TGC PGT application 2(service) serveur CAS based’authentification ID session 2 identification Les mandataire gèrent ensuite leurs propres sessions avec les services ID session 2 TGC PGT ID session 1 ID session 1 identification client web application 1(mandataire)

More Related