matinée pour comprendre linid - présentation des composants linid
TRANSCRIPT
#mpclinid2014
Présentation des composants LinID
Matinée pour comprendre – LinID – 3 avril 2014
2
2#mpclinid2014
Des logiciels libres de gestion des identités
● LinID est un ensemble de logiciels libres destinés à fournir une solution complète de gestion des identités et des accès :
– LinID Directory Server : annuaire référentiel d'identités
– LinID Directory Manager : interface de publication et de gestion
– LinID Access & Federation Manager : SSO, contrôle d'accès et fédération des identités
– LinID Provisioning Manager : synchronisation des identités entre les référentiels du SI
3
3#mpclinid2014
Des composants complémentaires et intégrés
Référentiel des Référentiel des identitésidentités
DirectoryDirectoryServerServer
Sources Sources d'identitésd'identités(SIRH, ...)(SIRH, ...)
Identités du Identités du système système
d'informationd'information
Provisioning Provisioning ManagerManager
Applications du Applications du système système
d'informationd'information
Applications CloudApplications CloudApplications CloudApplications Cloud
Console Console d'administrationd'administration
OpenLDAPOpenLDAPManagerManager
Interface de gestionInterface de gestion
DirectoryDirectoryManagerManager
SSO, contrôle d'accès, fédération SSO, contrôle d'accès, fédération d'identitésd'identités
FederationFederation& Access& AccessManagerManager
4
4#mpclinid2014
Directory Server
5
5#mpclinid2014
LinID Directory Server
● Annuaire de référence : OpenLDAP
● Paquetages RPMs et Debian des dernières versions
● Utilitaire de sauvegarde/restauration des données et de la configuration
● Console d'administration : LinID OpenLDAP Manager
● Greffons de supervision Nagios/Centreon/Cacti
6
6#mpclinid2014
L'annuaire le plus performant du marché
● Tests de charge en lecture réalisés en 2013 :
Source : http://fr.slideshare.net/ldapcon/benchmarks-on-ldap-directories
7
7#mpclinid2014
Respect des standards et richesse fonctionnelle
● OpenLDAP est l'implémentation de référence des RFC IETF sur le protocole LDAP
● Un système de greffons permet l'activation de nombreuses fonctionnalités :
– Intégrité référentielle
– Unicité globale
– Groupes dynamiques
– Politique des mots de passe
– Pagination et VLV
– Attributs collectifs
– Service dynamiques
– Gestion de l'attribut memberOf
8
8#mpclinid2014
OpenLDAP Manager
9
9#mpclinid2014
LinID OpenLDAP Manager
● Console Web de gestion de la configuration OpenLDAP (depuis la version 2.3)
● Gestion des backends et des overlays
● Gestion du schéma
● Détection dynamique des modules compilés et de la version
● Possibilité d'administrer plusieurs serveurs depuis une interface unique
10
10#mpclinid2014
Gestion des connexions
11
11#mpclinid2014
Édition du schéma
12
12#mpclinid2014
Directory Manager
13
13#mpclinid2014
LinID Directory Manager
● Framework J2EE haut niveau pour création d'interfaces de gestion d'annuaires LDAP
● Fonctionnalités :
– Pages blanches, pages jaunes
– Formulaire de création, mise à jour et suppression
– Délégation
– Recherches multicritères
– Navigation par arbre
– Gestion des photos
– Organigrammes
● Adaptabilité dynamique au schéma de données et aux contrôles d'accès
14
14#mpclinid2014
Formulaire de recherche
15
15#mpclinid2014
Consultation d'une fiche
16
16#mpclinid2014
Gestion de la photo
17
17#mpclinid2014
Arbre de navigation
18
18#mpclinid2014
Personnalisation graphique
19
19#mpclinid2014
Access & Federation Manager
20
20#mpclinid2014
LinID Access Manager
● Produit de WebSSO et contrôle d'accès (LemonLDAP::NG)
● Modules d'authentification LDAP, SQL, CAS, Kerberos, OpenID, SAML, SSL, OTP (Yubikey), etc.
● Intégration directe SiteMinder, Apache htaccess, HTTP Basic, Tomcat
● Rejeu de formulaires
● Historique de connexion
21
21#mpclinid2014
Portail d'authentification
22
22#mpclinid2014
Liste des applications
23
23#mpclinid2014
Personnalisation graphique
24
24#mpclinid2014
Console d'administration
25
25#mpclinid2014
LinID Federation Manager
● Extension de LinID Access Manager pour la fédération d'identité
● Support :
– Authentification et fournisseur d'identité SAML2 / Shibboleth
– Authentification et fournisseur d'identité OpenID
– Authentification et fournisseur d'identité CAS
● Cas d'usage
– Partage d'applications pour plusieurs organisations
– Accès à des applications dans une organisation multi AD hors forêt
– Sécurisation de l'accès à des applications SaaS (Google Apps) via une authentification locale (AD, certificats, token, ...)
– Passerelle mutli-protocoles (CAS/SAML/LDAP/OpenID/...)
26
26#mpclinid2014
IDP SP SLO
Émission des requêtes et réponses
Méthode AuthnResponse
AuthnRequest
AttributeRequest
Request Response
HTTP GET OK OK OK OK
HTTP POST OK OK OK OK
Artifact GET OK OK
Artifact POST OK OK
PAOS TODO TODO
SOAP OK OK OK
Réception des requêtes et réponses
Méthode AuthnRequest
AuthnResponse
AttributeResponse
Request Response
HTTP GET OK OK OK OK OK
HTTP POST OK OK OK OK OK
Artifact GET OK OK OK
Artifact POST OK OK OK
PAOS TODO TODO TODO
SOAP OK OK OK
Matrice du support SAML2
27
27#mpclinid2014
LinID Federation Manager et le Cloud
28
28#mpclinid2014
Provisionning Manager
29
29#mpclinid2014
LinID Provisioning Manager - PM
● Moteur d'approvisionnement et de synchronisation
● Fonctionnement : unitaire ou événementiel
● Référentiels supportés :
– SGBD : Oracle, MySQL, PostgreSQL, Ingres, Sybase…
– Annuaires LDAP : Sun/Oracle DS, OpenLDAP, Active Directory, ...
– Fichiers : CSV, XML, LDIF, ...
– Autres : Google Apps, OBM, NIS, Executable
● Libraires avancées :
– Active Directory
– Samba
● Extensibilité simple via Java
● Supervision temps réel Nagios/Centreon via JMX
30
30#mpclinid2014
Exemples d'implémentation
● Synchronisation d'un annuaire d'entreprise vers des annuaires techniques Samba
● Synchronisation bidirectionnelle entre Active Directory et OpenLDAP, avec gestion des mots de passe
● Import des comptes dans un annuaire depuis une base de données RH
● Approvisionnement d'identités dans des bases de données d'applications
#mpclinid2014
Merci de votre attention