SSO multi-protocoles avec Authentic 2

Gestion d'identité numérique et SSO multi-protocoles avec Authentic 2

L'authentification est un besoin récurent dans toutes les applications. La possibilité d’agréger des sources d'authentification hétérogènes comme par exemple une Active Directory et un LDAP autre est là aussi un besoin classique.

Par exemple il nous est arrivé régulièrement de devoir fournir des accès à une application pour deux types de population séparés, des utilisateurs « internes » référencés dans une Active Directory et des utilisateurs « externes » non connus dans cette même Active Directory mais qui devaient accéder à la même application avec des droits différents.

Pour fournir cette fonctionnalité nous utilisons un outil nommé Authentic2, développé par nos partenaires Entr'Ouvert. Ce logiciel est OpenSource et fourni un moyen aux applicatifs d'authentifier les utilisateurs sur une source unique.

Authentic2 propose les méthodes d'authentification suivantes : SAML 2.0, OAuth2, CAS, OpenID, LDAP and X509 et permet surtout de faire du proxy de protocoles entre eux. Cette fonctionnalité est extrêmement importante puisqu'elle permet de brancher une application qui ne parle que l'un des ces protocoles sur une source d'authentification qui ne parlerait qu'un autre protocole.

En plus de pouvoir lui-même utiliser les protocoles cités précédemment pour authentifier des utilisateurs sur des sources externes, Authentic 2 propose aussi de gérer les utilisateurs (ou une partie seulement) dans une base de donnée locale ou bien d'utiliser PAM, et donc tous les plugins disponibles comme par exemple Kerberos.

L'avantage d'une telle solution est de pouvoir fournir un service de SSO (Single Sign-on) ou l'utilisateur s'authentifie une seule fois et réutilise son jeton authentic2 pour entrer dans diverses applications.

Si votre application sait parler en SAML 2.0, vous pourrez en plus d'une simple authentification profiter des fonctionnalités d'autorisation de Authentic 2. Ceci permet de donner aux administrateurs la possibilité de définir des rôles pour les utilisateurs connus de Authentic 2 ou même de transporter des attributs comme des appartenance à une OU de l'AD. Votre applications sera alors à même de vérifier non seulement l'identité mais aussi les niveaux d'accès de l'utilisateur connecté en inspectant son jeton.

En résumé les points forts de la solution sont les suivants :

  • SSO,
  • Multi protocole avec proxy inter-protocole,
  • Système d’agrégation de sources d'authentification et d'autorisation,
  • Permet de déporter la gestion des « mots de passes » en dehors de votre application et donc de laisser les administrateurs systèmes en charge de la sécurité définir la politique de changement de mots de passes.