98

SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Embed Size (px)

DESCRIPTION

SophiaConf 2010 Conférence du 30 Juin 2010 à Polytech'Nice Sophia sur la Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong et trois retours d'expériences : Maitre Pascal Agosti, Cabinet Caprioli&Associés; Frédéric AIME, Chief Technical Officer de JANUA; Florent Peyraud, CEO et fondateur de TRYPHON

Citation preview

Page 1: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong
Page 2: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Ce cycle de conférence est porté par

la Commission Open Source

Telecom Valley

dont les objectifs sont le partage de

connaissances, l'échange de best practices et

l'animation de l'éco-système du logiciel libre

azuréen

Commission Open SourceSophiaConf2010

Page 3: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

4 conférences gratuites

proposées par la commission Open Source

de Telecom Valley

Mercredi 30 Juin 17h30

Gestion des identités

et sécurisation des services web :

réalités & perspectives

par Hubert LE VAN GONGExpert en sécurisation des services web

Lundi 05 Juillet 17h30

Android :

Tout savoir sur l'évolution des 12 derniers mois

et de l'année à venir

par Arnaud FARINE

Consultant Technique, Expert Android

Jeudi 08 Juillet 14h

HTML5 :

une plateforme contemporaine pour le Web

par JULIEN QUINT

Consultant Indépendant, expert du WEB et du XML

17h30

Méthodologie de gestion de projet agile :

SCRUM

par Claude AUBRY

Consultant expert dans le génie Logiciel

Page 4: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Mercredi 30 Juin 17h30

Geston des identtés et sécurisaton des services web :

réalités & perspectves  

par Hubert LE VAN GONGExpert en sécurisaton des services web

Page 5: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

IntroductionArchitecte

Page 6: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

IntroductionArchitecte

Page 7: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

IntroductionArchitecte

● Spécialiste de la Gestion des identités & services web

– Représentant Sun au sein d'organismes de standardisations● Liberty Alliance, Kantara Initiative, IETF etc.

● Community Leader pour OpenSSO

● Dévelopeur (OAuth) – Déploiement (openid.sun.com)

● CTO's Office (interopérabilité Sun-Microsoft)

● http://blog.levangong.com

hubertlvg at gmail.com

Page 8: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

5 / 63

Plan● La Problématique

● Evolution des besoins

● Un cycle complet

● Technologies● Web SSO● Services Web

● Le Futur

Page 9: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

6 / 63

Gestion Des IdentitésAudience

● Service web entre entreprises● Service web intra-entreprise● Consumer facing companies (“web 2.0”)

Problèmes & Objectifs● Une explosion de la complexité● Rationalisation des coûts● Limitation des risques

Page 10: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

7 / 63

Évolution des BesoinsDans l'Entreprise

● Outsourcing● Intégration merger etc.

Sur le Web

● Progression des besoins // évolutions web

Page 11: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

8 / 63

Evolution: Toujours Plus Complexe

# ApplicationsWeb

# RelationsEn Ligne

# Identités Web

Page 12: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

9 / 63

Evolution: Toujours Plus Complexe

# ApplicationsWeb

# RelationsEn Ligne

# Identités Web

Page 13: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

10 / 63

Evolution: Toujours Plus Complexe

# ApplicationsWeb

# RelationsEn Ligne

# Identités Web

Page 14: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

11 / 63

Evolution: Toujours Plus Complexe

Objectif !!

# RelationsEn Ligne

# ApplicationsWeb

# Identités Web

Page 15: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

12 / 63

Évolution des BesoinsRisques plus importants

● Vie privée● Entreprises plus exposées (risques, pénal)

Page 16: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

13 / 63

Évolution des BesoinsRisques plus importants

● Vie privée● Entreprises plus exposées (risques, pénal)

Profile utilisateurpublic par défaut

Force le partaged'informationsadditionelles

Distribution d'applicationsnon désirées

Extension browser→ info à Google

Street View→ quand la tentation est trop grande

Page 17: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

14 / 63

Quels Objectifs ?Limiter Les Risques● Sécuriser les services webs et leurs échanges

● Limiter le vol d'identité pour le consommateur

● Limiter l'exposition légale d'une entreprise

● Traçabilité / Audit

Autres Avantages● Meilleure interopérabilité

● Architecture plus simple, plus efficace

● Satisfaction de l'usager

Page 18: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

15 / 63

Quels ObjectifsRationaliser Les Coûts● Réduction moyens informatiques (stockage, IT etc.)

● Eviter les duplications de BD

● Déveloper les collaborations (intra & inter entreprises)

Page 19: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

16 / 63

Scenario – Privacy Freak● Achat matériel d'espion - http://www.LaPiscine.biz ● Paiement par carte de crédit● Livraison à mon lieu de travail

La Piscine Ma Banque

Moi

JeLivre.biz

1

3

2

4

Page 20: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

17 / 63

Scenario – Privacy Freak● Achat matériel d'espion - http://www.LaPiscine.biz ● Paiement par carte de crédit● Livraison à mon lieu de travail

La Piscine Ma Banque

Moi

JeLivre.biz

1

3

2

4

Adresse?

Espion?

Achat?

Page 21: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

18 / 63

Une Gestion des Identités Globale

Un cycle complet● Provisioning● Authentification / Controle d'accès / Autorisation● Logging● Audit● De-provisioning

Page 22: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

19 / 63

Une Gestion des Identités Globale

Identités de qui ?

● Au niveau du message

● Au niveau des cibles

Emetteur

Récepteur

Commanditaire

Destinataire

Acteurs ?

identité identité

ou

Page 23: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

20 / 63

Les Technologies

LDAP

Passport

SAML 1.0

ID-FF 1.2

SAML 2.0

InfoCardID-WSF 2.0

WS-* OpenID 2.0OpenID 1.0

OAuth 1.0

Page 24: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

21 / 63

Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”

Page 25: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

22 / 63

Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”

Cercle de Confiance

IdP

SP

SP

Page 26: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

23 / 63

Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”

Single Sign-OnSingle Sign-On Partage d'AttributsPartage d'Attributs

L'usage, pas le stockage!

Délégation d'authentificationCercle de Confiance

IdP

SP

SP

Page 27: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

24 / 63

Fédération des Identités (2)+ ● Nouvelles opportunités de business

● Délocaliser services auprès de partenaires

● Satisfaction clients/usagers

● Règles / Protocoles

● Sécurité de l'information

● Privacy

● Conformité aux lois

Page 28: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

25 / 63

Fédération des Identités (3)Principaux Protocoles

● SAML (évolution de Liberty Alliance ID-FF)● Shibboleth● OpenID● WS-Federation

Adoption● Secteur Privé (banques, Telcos etc.)● Gouvernements: France, Nouvelle-Zélande,

Canada etc.● Education: Universités

Page 29: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

26 / 63

SAML Security Assertion Markup Language propose:

● Single Sign-On– Browser standards– Clients HTTP qui connaissent l'IdP mais sans SOAP

● Single Log Out● Fédération d'identités

– Préserve l'anomimité– Utilise identifiant respectant la vie privée

● Échange d'attributs

Page 30: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27 / 63

SAML

AssertionsAuthentification

AutorisationAttributs

AssertionsAuthentification

AutorisationAttributs

Page 31: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

28 / 63

SAML

AssertionsAuthentification

AutorisationAttributs

AssertionsAuthentification

AutorisationAttributs

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

SSO profilesArtifact resolutionNameID mappingSAML attributes

Page 32: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

29 / 63

SAML

AssertionsAuthentification

AutorisationAttributs

AssertionsAuthentification

AutorisationAttributs

BindingsMapper les protocoles SAML

sur des protocolesde message & transport

BindingsMapper les protocoles SAML

sur des protocolesde message & transport

SOAPReverse SOAPHTTP RedirectHTTP POSTHTTP Artifact

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

SSO profilesArtifact resolutionNameID mappingSAML attributes

Page 33: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

30 / 63

SAML

AssertionsAuthentification

AutorisationAttributs

AssertionsAuthentification

AutorisationAttributs

MetadataConfigurationdes IdP & SP

MetadataConfigurationdes IdP & SP

ProfilesCombiner protocoles,assertions et bindings

pour satisfaire uncas d'usage précis

ProfilesCombiner protocoles,assertions et bindings

pour satisfaire uncas d'usage précis

Ctxt AuthNInformation détaillée

sur type et niveaud'authentification

Ctxt AuthNInformation détaillée

sur type et niveaud'authentification

BindingsMapper les protocoles SAML

sur des protocolesde message & transport

BindingsMapper les protocoles SAML

sur des protocolesde message & transport

SOAPReverse SOAPHTTP RedirectHTTP POSTHTTP Artifact

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

SSO profilesArtifact resolutionNameID mappingSAML attributes

Page 34: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

31 / 63

SAML

Sujet

Authentification

Autorisation

Attribut

Page 35: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

32 / 63

SAMLAssertion<saml:Assertion

xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0"IssueInstant="2010-06-29T12:00:00Z"><saml:Issuer>www.MonIdP.fr</saml:Issuer><saml:Subject>

<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected]</saml:NameID>

</saml:Subject><saml:Conditions

NotBefore="2010-06-29T12:00:00Z"NotOnOrAfter="2010-07-01T12:00:00Z">

</saml:Conditions>... statements ...

</saml:Assertion>

Page 36: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

33 / 63

SAMLContexte d'Authentification

<saml:Assertion ...info générale ici ...>... et ici …<saml:AuthnStatement

AuthnInstant=”2010-06-29T12:00:00Z”SessionIndex=”12345678912”><saml:AuthnContext>

<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

</saml:AuthnContextClassRef></saml:AuthnContext>

</saml:AuthnStatement></saml:Assertion>

Page 37: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

34 / 63

SAMLLes Contextes d'Authentification

Internet Protocol PasswordKerberosMobileOne Factor unregisteredInternet ProtocolMobile Two Factor UnregisteredMobile One Factor ContractMobile Two Factor ContractPasswordPassword Protected TransportPrevious SessionPublic Key – X.509Public Key - PGPPublic Key - SPKI

Public Key – XML SignatureSmartcardSmartcard PKISoftware PKITelephonyNomadic TelephonyPersonalized TelephonyAuthenticated TelephonySecure Remote PasswordSSL/TLS Cert-based Client AuthNTime Sync TokenUnspecifed

Page 38: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

35 / 63

SAML (Protocole)Example: le Browser POST profile

Page 39: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

36 / 63

SAMLPour en savoir plus:

● Spécification – http://saml.xml.org

● Sur le respect de la vie privée:“Achieving Privacy in a Federated Identity Management

System” - Financial Cryptography and Data Security '09

http://fc09.ifca.ai/papers/fc09-landau.pdf

Page 40: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

37 / 63

Services WebPourquoi?

● Contourner les limitations des browsers● Permet aux interactions basées sur l'identité de se

passer même en l'absence de l'utilisateur● De “Payer mes factures automatiquement”

→ “Médecin accédant à mon dossier dans l'urgence”● Collaboration sécurisée entre plusieurs services

– Personalisation– Controle d'accès

Page 41: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

38 / 63

Services WebObjectifs

● Permettre l'échange d'attributs

● Permettre l'accès aux ressources

Les besoins

● Sécuriser les échanges

● Méchanismes de délégation d'autorisation

Page 42: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

39 / 63

Services WebPrincipaux Protocoles

● ID-WSF 2.0 (Liberty Alliance)● Oauth 1.0 Rev A● WS-*

Adoption● Réseaux sociaux (twitter, facebook, Yahoo! Etc.)● Le gros reste à venir

Page 43: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

40 / 63

ID-WSF 2.0

Scenario:User's browser User's cell phone

MyID.com

DiscoveryService

BuyPuppyStuff.com

PersonalProfileService

InteractionService

1

2

34

56 11

8

9

10

7

Page 44: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

41 / 63

ID-WSF 2.0

TCP/IP, UDP, SSL/TLS, HTTP, SOAP 1.1, SAML assertions

Description

WS-AddressingCore WS-Security

SAML Token Profile

Security MechanismsSubscription/NotificationFramework

Security MechanismsSAML Profile

DiscoveryService

Authn,SSO,

IdentityMappingServices

PeopleService

InteractionService

DataServicesTemplate

ID-SIS

SOAP Binding

WSDL

Securitypolicy URIs

SAML2Metadata

WS-AddressingSOAP Binding

TCP/IP, UDP, SSL/TLS, HTTP, SOAP 1.1, SAML assertions

Description

WS-AddressingCore WS-Security

SAML Token Profile

Security MechanismsSubscription/NotificationFramework

Security MechanismsSAML Profile

DiscoveryService

Authn,SSO,

IdentityMappingServices

PeopleService

InteractionService

DataServicesTemplate

ID-SISThird-partysvcs

SOAP Binding

WSDL

Securitypolicy URIs

Third-partysvcs

SAML2Metadata

WS-AddressingSOAP Binding

Page 45: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

42 / 63

ID-WSF 2.0Pour en savoir plus:

http://projectliberty.org

● Spécifications

● Introduction Technique:“Liberty Alliance Web Services Framework: a technical overview”

Page 46: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

43 / 63

OAuth● Orienté Web 2.0

● Délégation d'autorisation

● Composé de:● Protocole basé sur la redirection du browser/agent

– Utilisateur, Consumer, Service Provider

● Mécanismes de sécurisation– Authentifie toutes les parties– Remplace RFC 2617

≠ SAML ou Liberty

Page 47: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

44 / 63

OAuth

Page 48: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

45 / 63

Oauth - Évolutions

2007 20092008 2010

Community

Oauth 1.0

Oauth 1.0aOauth 1.0a

Oauth 2.0

Page 49: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

46 / 63

OAuthRessources

● Spécification: http://oauth.net ● Librairies disponibles dans la plupart des langages● Librairie Java pour le frwk RESTful Jersey (JAX-RS)

– Signature des messages– Filtre Jersey côté Client (signature automatique)– Wrapper côté serveur (vérification signature)– http://wikis.sun.com/display/Jersey/OAuth

Page 50: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

47 / 63

Oauth – Jersey FwkOAuthParameters params = new OauthParameters().realm(REALM).

consumerKey(CONSUMER_KEY).signatureMethod(RSA_SIGNATURE_METHOD).timestamp(RSA_TIMESTAMP).nonce(RSA_NONCE).version(VERSION);

OAuthSecrets secrets = new OAuthSecrets().consumerSecret(RSA_PRIVKEY);

OAuthSignature.sign(request, params, secrets);

params = new OAuthParameters();

params.readRequest(request);

secrets = new OAuthSecrets().consumerSecret(RSA_CERTIFICATE);

assertTrue(OAuthSignature.verify(request, params, secrets));

Consumer

Service Provider

Page 51: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

48 / 63

WS-*Services Web

● Pas forcément basés sur l'identité● SOAP/XML

Approche hyper-modulaire● → hyper complexe...

Page 52: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

49 / 63

WS-*

Page 53: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

50 / 63

WS-*Quelques spécifications se détachent:

● WS-Adressing● WS-Security● WS-Trust (maintenant WS-SX)● WS-Policy

Page 54: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

51 / 63

InfoCard● Initiative de Microsoft → User Centric

● Basé sur un sous-ensemble de WS-*

● Echange d'attributs

● Notions de cartes (avec attributs) pour prouver son identité digitale

● Interface graphique client● Vista / Windows 7● Linux

Page 55: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

52 / 63

InfoCard● Infocard → en train de disparaitre?

● Dernière version du serveur de Microsoft est incompatible avec le client InfoCard

● Cycle de release tous les 2 à 3 ans...

● Reste 1 seul autre Selecteur InfoCard (Azigo) lui aussi +/-en panne.

Page 56: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

53 / 63

RESUMONSRESUMONS

Page 57: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

54 / 63

RESUMONSRESUMONS

AuthentificationAuthentification

Partage A

ttribu tsP

artage Attribu ts

AutorisationAutorisation

Domaines

Page 58: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

55 / 63

...OAuth

SAML

Elus

RESUMONSRESUMONS

AuthentificationAuthentification

Partage A

ttribu tsP

artage Attribu ts

AutorisationAutorisation

Domaines

Page 59: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

56 / 63

Web 2.0Web 2.0

EntrepriseEntreprise

Marchés

...OAuth

SAML

Elus

RESUMONSRESUMONS

AuthentificationAuthentification

Partage A

ttribu tsP

artage Attribu ts

AutorisationAutorisation

Domaines

Page 60: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

57 / 63

Et Maintenant ?

Page 61: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

58 / 63

Gérer l'HétérogénéitéL'existant est souvent important:

● Déploiement Annuaires● Applications avec interface non-standardisées

(et non modifiables!)

Il faut pouvoir:● Propager les sessions

Dans le futur on aimerait:● Échanger des politiques d'accès● ...

Page 62: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

59 / 63

Accros à l'IdentitéMais de grands besoins de:

● Simplification● Diminution de l'exposition au risque● Confidentialité omni-présente dans certains

domaines● Expansion de l'utilisation

– Propagation de l'IAM à d'autre domaineex: protection des contenus: DRM

Page 63: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

60 / 63

Améliorer la facilité de déploiements● Concept d'appliance / turn-key● Meilleure console pour l'administrateur● Écrans plus simples pour les utilisateurs

(création de comptes, provisioning etc.)

Minimiser l'intrusion pour les applications● Exemple: collectivités locales vis-à-vis MSP● Technique comme les Fedlets● Authentification transparente (différent niveaux)

Dévelopements Futurs (1)

Page 64: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

61 / 63

Dévelopements Futurs (2)Interopérabilité entre protocoles

● Tester la conformance aux spécifications● Déveloper les passerelles entre protocoles

– Echanger assertion SAML pour un jeton OAuth...– Profiter de SAML pour insérer jeton OAuth dans

l'assertion SAML (piggybacking)– Bénéficier de la confiance déjà établie avec SAML

Page 65: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

62 / 63

Dévelopements Futurs (3)Technologie

● Découverte / Localisation● ID-WSF → le seul découverte basée sur l'identité● Des efforts en cours

– XRD / LRD– Oauth

● Terminaux avancés● Smartphone, tablettes etc.● Advanced Clients (Liberty Alliance)

Page 66: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

63 / 63

MERCI !

http://blog.levangong.comhubertlvg at gmail.com

Page 67: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

Retours d’expériences

Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit

Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java

Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue

Page 68: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Sophia Conf30 juin 2010

Gestion des identités et sécurisation des services web : réalités & perspectives

- Authentification et éléments de droit -

Pascal AGOSTIAvocat au Barreau de Nice - Docteur en droit

© CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com

[email protected] / [email protected]

Page 69: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27/01/10 3

Le cabinet Caprioli & Associés est une société d’avocats en droit des affaires (privé et public) située à Paris et à Nice.

• Il est spécialisé dans :

– L’informatique, les technologies de l’information et des communications électroniques

– La sécurité des systèmes d’information et la dématérialisation

– les propriétés intellectuelles (droit d’auteur, marques, dessins, brevets, logiciels, bases de données, …)

• Adresses : 6, rue Saulnier, 75009 Paris

9, avenue Henri Matisse, 06200 Nice

• Site Web : www.caprioli-avocats.com

• Mél : [email protected] (Nice)

[email protected] (Paris)

30/06/10Authentification et éléments de droit Introduction

Page 70: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27/01/10 4

• Une histoire : jugement de première instance de l’Illinois « Epoux Shames-Yeakel c/ Citizens Financial Bank » du 21 août 2009 (Case 07 C 5387)

30/06/10Authentification et éléments de droit Présentation générale

Les époux Shames-Yeakel étaient les clients de Citizen Financial Bank. En février 2007, une personne nonidentifiée a accédé, à partir d’une autre adresse IP que celle utilisée par les Epoux, à l’un des comptes qu’ilspossédaient, en utilisant l’identifiant et le mot de passe de la femme. Cette personne a ensuite effectué unvirement électronique au montant de 26.500$ à partir du compte. L’argent a été alors transféré vers unebanque se situant à Hawaii pour finalement être envoyé vers une banque en Autriche. Quand le vol a étédécouvert et les fonds localisés, la banque autrichienne a refusé de retourner la somme en question.Par la suite, Citizens Financial a décidé d’engager la responsabilité des Epoux en exigeant leremboursement de sommes dues. Face à cette situation, les Epoux ont intenté un procès à CitizensFinancial Bank en alléguant que celle-ci a manqué de procéder à toutes les mesures nécessaires pourprotéger leur compte.

?Le juge américain accueille la plainte du couple à

l’encontre d’un établissement bancaire à la suite d'une fraude intervenue sur son compte bancaire en ligne.

Authentification à un facteur insuffisante

Page 71: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27/01/10 530/06/10Authentification et éléments de droit Présentation générale

Qui êtes vous ? Déclaration d’identité/Identification

Comment en être sûr?

Vérification d’identité/Authentification

Comment puis je accéder au SI?

Politique d’Identity and Access Management

Comment sont gérés les droits?

Quelques questions à se poser concernant l’accès au SI :

Page 72: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27/01/10 6

• Définition de l’authentification et de l’identification :

« L’authentification a pour but de vérifier l’identité dont une entité(personne ou machine) se réclame. Généralement, l’authentification estprécédée d’une identification qui permet à cette entité de se fairereconnaître du système par un élément dont on l’a doté. En résumé,s’identifier c’est communiquer une identité préalablement enregistrée,s’authentifier c’est apporter la preuve de cette identité ».

Référentiel Général de Sécurité,§3.2

30/06/10Authentification et éléments de droit Présentation générale

Page 73: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27/01/10 7

7

Objectifs de l’authentification :

30/06/10Authentification et éléments de droit Présentation générale

Authentification

Contrôle d’accès

Imputabilité

Page 74: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27/01/10 8

Techniques d’authentification

Elles reposent sur :

Authentification et éléments de droit Présentation générale 30/06/10

CNIL

• Un élément caractérisant personnellement l’utilisateur (ex : biométrie)

• Un élément que possède l’utilisateur (ex : carte à puce)

• Un élément que connaît l’utilisateur (ex : mot de passe)

Page 75: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27/01/10 9

Principaux domaines juridiques impactés :

Authentification et éléments de droit Présentation générale 30/06/10

• Objectif : fédérer les outils d'authentification émispar différents acteurs, en garantissant un niveauhomogène de sécurité et d’interopérabilité.

Droit bancaire et financier

Droit publicDroit civil

• Contractualisation en ligne(crédit à la consommation) ;

• Virement en ligne ;

• Accès aux comptes ;

Exigences authentificationnon rejouable

• Contractualisation enligne

• Accès à des téléservices ;

Exigences du RGS

Label IdéNum

Page 76: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

27/01/10 10

Avez-vous des questions ?

Merci de votre attention !Pascal AGOSTI

Avocat au Barreau de NiceDocteur en droit

Société d’avocats9 avenue Henri Matisse, 06200 Nice / Tél. 04 93 83 31 31

6 rue Saulnier, 75009 Paris / Tél. 01 47 70 22 12

www.caprioli-avocats.commél : [email protected]

[email protected]

30/06/10Authentification et éléments de droit Présentation générale

Page 77: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

Retours d’expériences

Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit

Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java

Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue

Page 78: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Présentation De Janua● Société de services en logiciels libres (SS2L) et éditeur

fondée en 2004 à Sophia Antipolis

● Notre métier : l'expertise

● Notre crédo : l'Open Source

● Notre force : les hommes, leur vécu et leur motivation

● Notre approche : l'Open Source et gestion des identités numériques.

● Développement au forfait à l'aide de méthodologies "agiles", les solutions packagées et les maquettes (POC).

Page 79: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Les compétences de Janua• Consulting, implémentations et déploiement de solutions de gestion d'identités (provisioning, workflows, synchronisation, SPML v2, audit et conformité), de contrôle d'accès et gestion des droits (SSO, CDSSO, eSSO, fédération, authentification forte, PKI, délégation d'administration).

• Expertise en annuaires LDAP (OpenLDAP, Sun DSEE, OpenDS, Red Hat directory server) et besoins connexes comme la gestion de contenu ou les interfaces d'accès aux annuaires.

• Etudes d'opportunités et accompagnement à la migration Open Source, déploiement de solutions d'infrastructures.

• Développement au forfait, assistance technique et expertise sur des composants Open Source, embarqués et temps réel, portage Android.

• Consulting Réseaux et Sécurité, expertise base de données, cluster et virtualisation.

• Editeur des logiciels LDAPTools, Jaguards, KressourcesWCAP, EZslony et CMakeBuilder

Page 80: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Retour d'expèrience

CAS Client 1 :

Utilisation de la couche OpenID pour l'authentification dans un logiciel de sécurisation « end-point » entrée de gamme.

* Utilisation de la stack du client pour la gestion des droits* Utilisation de OpenID pour réaliser les opérations d'authentification

CAS Client 2 :

Utilisation de OpenID pour l'authentification dans un logiciel de widgets de bureaux pour se rapprocher d'un contexte SSO.

* Utilisation de OpenID pour réaliser les opérations d'authentification.* Mutualisation de l'authentification au travers de tout le framework de widgets

Page 81: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Mise en œuvre de OpenID

• De nombreuses APIs Disponibles pour divers langages de programmation

• parmi lesquelles :

•JAVA : OpenID 4 Java

•PHP 4/5 : Php-OpenID

•DotNet : DotNet OpenAuth

Page 82: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Schéma d'authentification

OpenID « Provider »

OpenID «Client»

Request

Response

Base de donnée« Pivot »

Page 83: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Base de donnée « pivot »

Aucun mot de passe stocké par l'application « cliente »

Page 84: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Implémentation en JavaRequête D'authentification

Page 85: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Implémentation en JavaValidation de la réponse

Page 86: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Implémentation en PHPRequête d'authentification

Page 87: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Implémentation en PHPValidation de la réponse

Page 88: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Avantages et inconvénients

• Une intégration très facile dans toute application Web

•JAVA, PHP, DotNet

•Limité à l'authentification pure

•l'identité est maintenue par le client et n'est donc pas garantie

•pas de gestion de droits

•100% Web-Based

Page 89: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

Retours d’expériences

Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit

Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java

Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue

Page 90: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

Une autorité de certification peu connue

F.Peyraud - Tryphon

Page 91: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

Agenda

• Who am I

• PKI : What is it ? What for ?

• PKI : components

• Certification Authorities

• CAcert, charter and concept

• CAcert, Pros and Cons

• One step beyond with CAcert !

Page 92: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

Who am I ?

• Florent Peyraud

• Co-founder of Tryphon SARL

– Appliances, training and consulting

– Web applications, RoR

– Strong focus on radio stations

• Ex-president of Linux Azur

• Engineer in Electronics and Radio Freq.

Page 93: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

PKI : What is it ? What for ?

• Public Key Infrastructure

– Asymetrical cryptography

– Certificates

• Roles

– Confidentiality

– Authentication

– Integrity

– Non repudiation

Page 94: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

PKI : components

• EE : End Entity, user

• RA : Registration Authority

• CA : Certification Authority

• Repository : CERTs and CRLs

• KE : Key Escrow

Page 95: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

Certification Authorities

• Commercial

– Thawte, Verisign, Gandi...

• Free

– Gandi (1 year), Verisign (60 days)

– CAcert (community based)

– Yourself !

Page 96: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

CAcert : charter and concept

• CAcert is a certification authority

• It has all the elements of a commercial CA

• Rely on community for :

– Spreading

– Build a web of trust

• Assurers, members

• System of assurance points

• System of assurer's experience points

Page 97: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

CAcert, Pros and Cons

• PROS– Potentially as secure

as a commercial CA

– Freely available certificates

– Wolrdwide community makes a strong confidence

• CONS– Not integrated in

browsers' CA list by default yet

– No monetary guaranty in case if incident

Page 98: SophiaConf 2010 Présentation de la conférence du 30 Juin - Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong

Commission Open Source

One step beyond with CAcert !

• Become a member

• Get assured

• Become an assurer

• Start using CAcert signed certificates !

• Help making CAcert Root Certificate being integrated in all main browsers

www.cacert.org