inclusion SAML
This commit is contained in:
parent
9fe5b9fb42
commit
fa27218837
62
doc.md
62
doc.md
|
@ -35,68 +35,6 @@ Compilation :
|
|||
# Mécanismes d'authentification et implémentations
|
||||
## SASL (RFC2222)
|
||||
TODO Paul
|
||||
## SAML
|
||||
Basé XML
|
||||
Standardisé par l'OASIS
|
||||
Décrit des formats de données d'échange entre IDP et SP, à des fins d'authentification et d'autorisation des utilisateurs.
|
||||
|
||||
Utilisé pour le SSO des navigateurs
|
||||
|
||||
Une implémentation pour le SSO au niveau d'internet plus que d'un intranet ( intranet => Cookies seuls permettent d'assurer le SSO, car on sait quels technos Web sont en place dans le réseau interne)
|
||||
|
||||
Cf OpenSAML
|
||||
|
||||
Définition de rôles TODO explications access control
|
||||
|
||||
Méthode d'authentification laissée au choix des concepteurs du service
|
||||
LDAP, RADIUS, AD, délégation à un compte réseau social proposant des services d'authentification, etc.
|
||||
|
||||
SAML2.0 depuis 2005
|
||||
|
||||
TODO : Récupérer le XML Schema décrivant SAML, se documenter sur XML Encryption
|
||||
|
||||
Clauses d'une assertion SAML :
|
||||
- contenu de l'assertion en elle même ?
|
||||
- temps d'émission de l'assertion
|
||||
- émetteur
|
||||
- sujet de l'assertion
|
||||
- conditions de validité de l'assertion
|
||||
|
||||
Sens (usuel) des assertions : IdP -> SP
|
||||
De ces assertions dépendent les contrôle d'accès défini par le SP pour l'utilisateur venant de s'authentifitier
|
||||
|
||||
Types de *statements* :
|
||||
- Concernant une authentification
|
||||
- Concernant un attribut
|
||||
- Concernant une autorisation
|
||||
auxquels sont associées trois mêmes types de requête provenant du SP
|
||||
|
||||
TODO SAML SOAP bindings ?
|
||||
|
||||
### profils SAML
|
||||
#### Profil navigateur/artefact // TODO ?
|
||||
#### Profil navigateur/http POST // TODO ?
|
||||
|
||||
### SAML et sécurité
|
||||
TLS
|
||||
XML Signature, et XML Encryption //TODO ?
|
||||
Ne spécifie pas de méthode de signature ou de chiffrement en particulier, juste des conventions de formatage pour leséchangés des paramètres de ces deux mécanismes (signature et chiffrement)
|
||||
|
||||
### Structure des échanges SAML
|
||||
//TODO cf doc Authentic
|
||||
|
||||
Schema de l'attribut SAML LDAP/X.500 'givenName' (extrait doc Authentic) :
|
||||
|
||||
` <saml:Attribute`
|
||||
` xmlns:x500="urn:oasis:names:tc:SAML:2.0:profiles:attribute:X500"`
|
||||
` NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"`
|
||||
` Name="urn:oid:2.5.4.42" FriendlyName="givenName">`
|
||||
` <saml:AttributeValue xsi:type="xs:string"`
|
||||
` x500:Encoding="LDAP">Mikaël</saml:AttributeValue>`
|
||||
` </saml:Attribute>`
|
||||
|
||||
Normé par L'OASIS
|
||||
|
||||
## OpenID Connect
|
||||
Utilisé pour la plateforme FranceConnect
|
||||
Plus facile à mettre en place que des solutions basées SAML ?
|
||||
|
|
|
@ -707,6 +707,68 @@ pointeurs TODO
|
|||
#### Kerberos (?)
|
||||
|
||||
#### SAML
|
||||
#### SAML
|
||||
Basé XML
|
||||
Standardisé par l'OASIS
|
||||
Décrit des formats de données d'échange entre IDP et SP, à des fins d'authentification et d'autorisation des utilisateurs.
|
||||
|
||||
Utilisé pour le SSO des navigateurs
|
||||
|
||||
Une implémentation pour le SSO au niveau d'internet plus que d'un intranet ( intranet => Cookies seuls permettent d'assurer le SSO, car on sait quels technos Web sont en place dans le réseau interne)
|
||||
|
||||
Cf OpenSAML
|
||||
|
||||
Définition de rôles TODO explications access control
|
||||
|
||||
Méthode d'authentification laissée au choix des concepteurs du service
|
||||
LDAP, RADIUS, AD, délégation à un compte réseau social proposant des services d'authentification, etc.
|
||||
|
||||
SAML2.0 depuis 2005
|
||||
|
||||
TODO : Récupérer le XML Schema décrivant SAML, se documenter sur XML Encryption
|
||||
|
||||
Clauses d'une assertion SAML :
|
||||
- contenu de l'assertion en elle même ?
|
||||
- temps d'émission de l'assertion
|
||||
- émetteur
|
||||
- sujet de l'assertion
|
||||
- conditions de validité de l'assertion
|
||||
|
||||
Sens (usuel) des assertions : IdP -> SP
|
||||
De ces assertions dépendent les contrôle d'accès défini par le SP pour l'utilisateur venant de s'authentifitier
|
||||
|
||||
Types de *statements* :
|
||||
- Concernant une authentification
|
||||
- Concernant un attribut
|
||||
- Concernant une autorisation
|
||||
auxquels sont associées trois mêmes types de requête provenant du SP
|
||||
|
||||
TODO SAML SOAP bindings ?
|
||||
|
||||
##### profils SAML
|
||||
###### Profil navigateur/artefact // TODO ?
|
||||
###### Profil navigateur/http POST // TODO ?
|
||||
|
||||
##### SAML et sécurité
|
||||
TLS
|
||||
XML Signature, et XML Encryption //TODO ?
|
||||
Ne spécifie pas de méthode de signature ou de chiffrement en particulier, juste des conventions de formatage pour leséchangés des paramètres de ces deux mécanismes (signature et chiffrement)
|
||||
|
||||
##### Structure des échanges SAML
|
||||
//TODO cf doc Authentic
|
||||
|
||||
Schema de l'attribut SAML LDAP/X.500 'givenName' (extrait doc Authentic) :
|
||||
|
||||
` <saml:Attribute`
|
||||
` xmlns:x500="urn:oasis:names:tc:SAML:2.0:profiles:attribute:X500"`
|
||||
` NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"`
|
||||
` Name="urn:oid:2.5.4.42" FriendlyName="givenName">`
|
||||
` <saml:AttributeValue xsi:type="xs:string"`
|
||||
` x500:Encoding="LDAP">Mikaël</saml:AttributeValue>`
|
||||
` </saml:Attribute>`
|
||||
|
||||
Normé par L'OASIS
|
||||
|
||||
|
||||
#### OAuth
|
||||
|
||||
|
|
Reference in New Issue