[jdll 2017] des logiciels libres pour la gestion des identités
TRANSCRIPT
![Page 1: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/1.jpg)
@SFLinux@clementoudot
Des logiciels libres pour la gestion des identités !
![Page 2: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/2.jpg)
2@SFLinux@clementoudot
Clément OUDOT@clementoudot
http://sflx.ca/coudot
● Créé en 1999● >140 personnes● Montréal, Quebec, Toronto, Paris● ISO 9001:2004 / ISO 14001:2008● [email protected]
![Page 3: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/3.jpg)
3@SFLinux@clementoudot
La gestion des identités
![Page 4: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/4.jpg)
4@SFLinux@clementoudot
Définition
● Les gestion des identités s’attache au cycle de vie des comptes dans le système d’information :– Création
– Modification (renommage, changement de service, etc.)
– Suppression
● La gestion des identités est liée à la gestion des accès : terme IAM en anglais (Identity and Access Management)
![Page 5: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/5.jpg)
5@SFLinux@clementoudot
Authentification , contrôle d’accès et libre-services
Référentiel des identités
Publication et gestion des identités
Synchronisation des identités
Les composants principaux d’un système de gestion des identités
![Page 6: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/6.jpg)
6@SFLinux@clementoudot
Des logiciels libres
![Page 7: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/7.jpg)
7@SFLinux@clementoudot
Une offre assez large
● Il existe de nombreux logiciels libres qui couvrent tout ou partie des composants nécessaires à un système de gestion des identités
● Pour faire son choix il faut analyser les fonctionnalités, les technologies utilisées, les licences, les aspects ergonomiques, la communauté…
● Liste non exhaustive de logiciels sur le forum Etalab : forum.etalab.gouv.fr
![Page 8: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/8.jpg)
8@SFLinux@clementoudot
Attention !
La suite de cette présentation est complètement subjective
![Page 9: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/9.jpg)
9@SFLinux@clementoudot
Référentiel des identités
![Page 10: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/10.jpg)
10@SFLinux@clementoudot
OpenLDAP
● Licence BSD● C● Respect du standard LDAPv3● Haute performance et volumétrie● Configuration multi-maîtres● Politique des mots de passe● Ajouts de fonctionnalités par
overlays : groupes dynamiques, intégrité référentielle, appartenance aux groupes, contraintes sur les valeurs
![Page 11: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/11.jpg)
11@SFLinux@clementoudot
LDAP Tool Box - OpenLDAP
● Paquets RPM ou Debian● Script de démarrage● Outils d’exploitation
(sauvegarde/restauration/indexation)
● Modules de contrôle de qualité du mot de passe
![Page 12: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/12.jpg)
12@SFLinux@clementoudot
LDAP Tool Box - Supervision
● Greffons Nagios ou Cacti :– Temps de réponse– Statut de la réplication– Verrous sur les bases
BDB/HDB– Taux de remplissage des
bases MDB– Statistiques sur les
opérations
![Page 13: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/13.jpg)
13@SFLinux@clementoudot
LDAP Tool Box - Audit
● Configuration pour ELK :– Analyse des différentes
opérations
– Mesure des performances
– Analyse des codes d’erreur
![Page 14: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/14.jpg)
14@SFLinux@clementoudot
Synchronisation des identités
![Page 15: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/15.jpg)
15@SFLinux@clementoudot
LDAP Synchronization Connector
● Licence BSD● Java● Paquets RPM ou Debian● Ajout, modification et suppression des
identités et groupes● Support des annuaires standards LDAPv3● Support de Samba 4 et Active Directory● Support bases de données et fichers CSV● Utilisation possible de scripts externes ou
API REST● Synchronisation des mots de passe et des
attributs de la politique des mots de passe
![Page 16: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/16.jpg)
16@SFLinux@clementoudot
LSC – Phase « sync »
![Page 17: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/17.jpg)
17@SFLinux@clementoudot
LSC – Phase « clean »
![Page 18: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/18.jpg)
18@SFLinux@clementoudot
LSC – Exemple d’utilisation de code JS <forceValues> <string> <![CDATA[rjs: var membersSrcDn = srcBean.getDatasetValuesById("uniqueMember"); var membersDstDn = []; for (var i=0; i<membersSrcDn.size(); i++) { var memberSrcDn = membersSrcDn.get(i); var uid = ""; try { uid = srcLdap.attribute(memberSrcDn, "uid").get(0); } catch(e) { continue; } var destDn = ldap.search("ou=users,ou=demo", "(sAMAccountName=" + uid + ")"); if (destDn.size() == 0 || destDn.size() > 1) { continue; } var destMemberDn = destDn.get(0) + "," + ldap.getContextDn(); membersDstDn.push(destMemberDn); } membersDstDn ]]> </string> </forceValues>
![Page 19: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/19.jpg)
19@SFLinux@clementoudot
Publication et gestion des identités
![Page 20: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/20.jpg)
20@SFLinux@clementoudot
FusionDirectory
● Licence GPL● PHP● Paquets RPM ou Debian● Gestion des données de l’annuaire LDAP :
– Utilisateurs– Groupes– Machines– Comptes techniques– Organisations– Rôles
● Moteur d’autorisation permettant la délégation de la gestion des données
![Page 23: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/23.jpg)
23@SFLinux@clementoudot
LDAP Tool Box – White Pages
● Licence GPL● PHP● Paquets RPM ou Debian● Publication des données de l’annuaire
LDAP « pages blanches » :– Recherche rapide– Recherche avancée– Trombinoscope
● Affichage des valeurs en fonction du type d’attribut
● Lien direct vers les fiches● Configuration de l’activation des différentes
fonctions● Personnalisation graphique
![Page 24: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/24.jpg)
24@SFLinux@clementoudot
https://ltb-project.org/star-pages
![Page 25: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/25.jpg)
25@SFLinux@clementoudot
Authentification, contrôle d’accès et libre-services
![Page 26: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/26.jpg)
26@SFLinux@clementoudot
LemonLDAP::NG
● Licence GPL● Perl● Paquets RPM ou Debian● Portail d’authentification● Liste dynamique des applications● Fournisseur d’identités CAS, SAML et
OpenID Connect● Authentification Kerberos● Authentification sociale (Twitter, Facebook)● Authentification forte/multi-facteurs● Personnalisation graphique des interfaces
![Page 27: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/27.jpg)
27@SFLinux@clementoudot
Historique
2003 2006 2010 2016
Création du projet
VersionNG
SAMLCAS
OpenID
OpenID Connect
![Page 28: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/28.jpg)
28@SFLinux@clementoudot
Composants
CommonCommon
ManagerManager HandlerHandler
PortalPortal
Interface de configuration
Formulaires et menu
Protection des applications
![Page 31: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/31.jpg)
31@SFLinux@clementoudot
Modules d'authentification
LDAPLDAPADAD
ApacheApache SAMLSAML
CASCAS RadiusRadius OpenIDOpenID
WebIDWebID
BrowserBrowserIDID
DBIDBI
YubikeyYubikey
![Page 32: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/32.jpg)
32@SFLinux@clementoudot
Passerelle multi-protocoles
SAMLSAMLCASCAS
OpenID OpenID ConnectConnect
![Page 33: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/33.jpg)
33@SFLinux@clementoudot
Fonctions libre-service
Changement Changement de mot de de mot de
passepasse
RéinitialisatiRéinitialisation de mot on de mot de passede passe
Création Création de de
comptecompte
![Page 34: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/34.jpg)
34@SFLinux@clementoudot
LDAP Tool Box – Self Service Password
● Licence GPL● PHP● Paquets RPM ou Debian● Changement de mot de passe● Réinitialisation de mot de passe par
mail● Réinitialisation de mot de passe par
questions● Réinitialisation de mot de passe par
jeton (SMS)● Changement de clé SSH
![Page 36: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/36.jpg)
36@SFLinux@clementoudot
Pour aller plus loin
![Page 37: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/37.jpg)
37@SFLinux@clementoudot
http://www.openldap.org @openldaporg
https://ltb-project.org @LTB_Project
https://lsc-project.org @LSC_Project
https://www.fusiondirectory.org @fusiondirectory
https://lemonldap-ng.org @lemonldapng
![Page 38: [JDLL 2017] Des logiciels libres pour la gestion des identités](https://reader033.vdocuments.net/reader033/viewer/2022042605/58e4ab301a28abbb038b5675/html5/thumbnails/38.jpg)
38@SFLinux@clementoudot
Merci pour votre attention
Blog : http://slfx.ca/coudotTwitter : @clementoudot