Nouveautés et migration vers Shibboleth 2

1. mercredi 22 octobre 2014 Journée fédération d’identités Janvier 2011 Nouveautés et migration vers Shibboleth 2

2. PLAN • État des lieux • Migrer vers Shibboleth 2 • Nouveautés de Shibboleth 2 • Articulation de Shibboleth IdP et SSO-CAS

3. mercredi 22 octobre 2014 État des lieux 4 Fournisseurs d’identités Shibboleth 1.x 1 IdP simpleSAMLphp 40 sur 141 SP qui ne supportent pas encore SAML2 4 SP supportent exclusivement SAML2 Les autres implémentations SAML2 : openSSO, simpleSAMLphp, oioSAML 8/9 avril 2010 3

4. mercredi 22 octobre 2014 Migration vers Shibboleth 2 • Le cadre technique de la fédération va évoluer n’incluant plus que le protocole SAML 2 • Certaines ressources de la fédération ne dialoguent qu’en SAML 2 • Les briques techniques Shibboleth v1 ne sont plus supportées par les développeurs • Profiter des fonctionnalités qu’offre le protocole SAML 2

5. Nouveautés - Shibboleth IdP 2.2.x Légers changements dans les configurations des journaux – anciens fichiers non réutilisables Nouvelles fonctionnalités telles que la gestion d’un cache pour les résultats issus de requêtes LDAP/SGBD Légers changements de syntaxe dans le fichier relying-party.xml https://spaces.internet2.edu/display/SHIB2/IdP22Upgrade mercredi 22 octobre 2014

6. À Venir Shibboleth IdP version 3 • Gestion native de mise en cluster (haute-disponibilité) • Un « Clustered datastore » sera également implémenté pour facilité la mise en place des StoredID • Intégration d’un module de consentement de l’utilisateur (logiciel uApprove) • Implémentation de la norme openID et OTP (sms) • Implémentation Single Log Out

7. Single Log Out ? • Mécanisme de déconnexion généralisée de toutes les ressources auprès desquelles des sessions ont été ouvertes • Préviens des vols de sessions dans le cas où les cookies de sessions n’ont pas été invalidés • Inconvénient : les applications protégées doivent s’appuyer sur les sessions des SP qui les protègent

8. Single Log Out IdP SLO request SLO requests SP SP session SP sessions Déconnexion application application application

9. Nouveautés - Shibboleth SP 2.4 • Le fichier de configuration (XML) simplifié • Gestion des méta-données optimisée • Exécution en tache de fond • Meilleure gestion du cache • Validation complète avant écrasement de la version précédente • Possibilités de désactivation du cache (assertions SAML) pour les SP à gros trafic https://spaces.internet2.edu/display/SHIB2/NativeSPInterestingFeatures

10. Nouveautés Shibboleth SP 2 : Le service de découverte • Discovery service = appellation SAML2 du WAYF • Fonctionnement : • Ancien : SP  WAYF  IdP  SP • Nouveau : SP  DS  SP (Identifiant IdP)  IdP  SP • Discovery Service centralisé • Plusieurs ressources s’appuyant sur un DS commun • Possibilité d’intégrer un EDS directement sur les pages d’accueil des ressources • Projet EDS = Embedded Discovery Service • Actuellement en beta test • Inclue un moteur de recherche • Va être « packagé » avec Shibboleth SP 2.4.x • Intégration simple (fichiers JavaScript + CSS) • Format de données compact et léger (JSON) https://spaces.internet2.edu/display/SHIB2/EDSDetails#EDSDetails-3ImplementationDetails

11. IdP / SSO-CAS - Articulation • Shibboleth IdP est un serveur d’authentification • Beaucoup d’applications intra-établissement « CASsifiées » • L’IdP délégue la phase d’authentification à un serveur CAS en frontal • L’IdP se charge de prolonger le SSO hors de l’établissement et de fournir les attributs

12. mercredi 22 octobre 2014 IdP / SSO-CAS - Limites En France, la majorité des IdP délègue l’authentification à des serveurs SSO-CAS Profil REMOTE_USER utilisé Single Logout non supporté Force authentication non supporté Implémentation de ces deux fonctionnalités envisagée – Handler Shibboleth SSO pour CAS Une application CASsifiée n’est pas Shibbolisée pour autant 8/9 avril 2010 12

13. QUESTIONS ?