L'authentification unique
Principe de fonctionnement général
La gestion du Single Sign On[1] (SSO) sur les modules EOLE est basée sur le protocole CAS[2].
Le principe est que l'utilisateur fournit ses identifiants sur la page d'authentification du service. Une fois les identifiants validés, le service pose un cookie de session SSO dans le navigateur. Ce dernier n'est valide que sur une durée définie.
Tant que le cookie est valide, le service reconnaît automatiquement l'utilisateur à chaque fois qu'une application demandera de vérifier son authentification. Ce système présente plusieurs intérêts : l'utilisateur ne saisit qu'une fois ses identifiants pour se connecter à un ensemble d'applications et celles-ci n'ont jamais accès à ses identifiants réels (Avec eole-sso la liste des informations envoyées aux applications par le service SSO est configurable par application grâce à un système de filtres).
Le serveur d'authentification possède plusieurs caches de sessions :
tickets utilisateurs (session SSO) : longue durée, réutilisable. Ces tickets sont la preuve d'authentification de l'utilisateur et sont stockés dans un cookie sécurisé dans le navigateur de l'utilisateur ;
tickets d'application : courte durée (5 minutes par défaut), utilisable une seule fois et pour une seule application.
Ces tickets sont également utilisés pour mémoriser une session de fédération avec un autre système (se reporter aux chapitres traitant de la fédération d'identité).
Les applications clientes n'ont pas accès à l'identifiant de la session utilisateur, il est échangé uniquement entre le serveur d'authentification et le navigateur.
Une fois qu'une application a obtenu un ticket, elle peut utiliser de façon classique une session interne pour ne pas surcharger le serveur par des appels trop nombreux.
Attention
La session SSO étant gérée par un cookie placé dans le navigateur du client, celui-ci doit être configuré pour accepter les cookies.
Déroulement de l'accès à une application via SSO
L'utilisateur accède à une page d'une application (service) configurée pour utiliser le système SSO (application utilisant un client CAS).
L'application redirige l'utilisateur sur le serveur SSO en passant une URL de retour (paramètre
service
). Le serveur SSO vérifie qu'un cookie de session est présent et qu'il correspond à une session valide.Si ce n'est pas le cas, il demande à l'utilisateur de saisir ses identifiant et mot de passe pour établir une nouvelle session SSO.
Une fois la session validée, le serveur SSO génère un ticket d'application valable pour une courte durée et réservé à l'URL du service. Il redirige alors l'utilisateur sur cette URL en passant le ticket en paramètre.
L'application récupère le ticket. Elle redirige l'utilisateur sur l'URL de validation du serveur SSO en passant en paramètre le ticket reçu et son URL de service.
Le service SSO vérifie que le ticket est encore valide et correspond à l'URL de service. puis redirige sur l'URL de service en incluant une réponse. Si cette réponse est positive (le ticket est valide), elle contient également des informations sur l'utilisateur (les informations renvoyées dépendent de l'application, se reporter au chapitre traitant des filtres).
L'application reçoit la réponse et crée éventuellement une session interne pour l'utilisateur.
La page de l'application est renvoyée à l'utilisateur
Complément
Le fonctionnement peut être plus complexe dans le cas de l'utilisation du mode proxy pour accéder à des services non web (par exemple, pour accéder à un service IMAP ou FTP).
Se reporter à la description du site officiel du protocole CAS pour plus de détail :
Description du produit EoleSSO
EoleSSO est un serveur d'authentification développé pour répondre à la problématique du SSO[1] (authentification unique) dans différentes briques de l'architecture EOLE. Il est développé en langage Python à l'aide du framework Twisted[3].
Ce produit implémente en premier lieu un serveur d'authentification compatible avec le protocole CAS[2]. Une partie du protocole SAML[4] a été implémentée par la suite pour permettre de répondre à des problématiques de fédération avec d'autres produits (ou entre 2 serveurs EoleSSO).
Description du produit Lemon-LDAP::NG
LemonLDAP::NG[5] est un logiciel open source qui fournit une solution d'authentification unique distribuée avec gestion centralisée des droits sous licence GPL.
Intégré à partir d'EOLE 2.8, il peut de remplacer avantageusement la solution historique EoleSSO.
Site officiel : LemonLDAP::NG
Documentation officielle (en anglais) : Documentation