OBJECTIFS PEDAGOGIQUES
Ce cours de synthèse présente les cas d’usages, la sémantique et les architectures logicielles associés à l’implémentation du standard SAML 2 dans le cadre d’un projet de fédération d’identités. Il vous montrera également les principaux outils du commerce ainsi que l’interaction avec les technologies existantes.
PUBLIC
Ce cours s’adresse aux responsables réseaux, architectes, responsables études, ingénieurs système et développeurs qui ont à intégrer une solution utilisant SAML 2. |
PRE-REQUIS
Connaissances de base des architectures techniques Web. |
CONTENU
Introduction
- Historique de SAML 2 (Security Assertion Markup Language) et périmètre fonctionnel.
- La fonction SSO (Single Sign-On).
- Architectures de fédération : Web SSO propriétaire, SAML 1, Shibboleth, ID-FF Liberty Aliance, WS-Federation.
- SAML 2 : les services qu’il peut rendre, MDSSO, Fédération d’identité, Web Service.
- Les différents acteurs impliqués : DSI, architectes, développeurs, exploitants.
- Le cycle de vie de l’identité des utilisateurs (création, modification, suppression, suspension).
Les cas d’usage
- Fédération d’identités : choix des services, du type d’identifiant et de la dynamique de fédération.
- Fournisseur d’identité : Web SSO en IDP (Identity Provider) Initiated SSO.
- Fournisseur de service : le SP (Service Provider) Initiated SSO.
- Web Browser SSO : les étapes d’authentification d’un utilisateur et les aller-retour entre le SP et l’IdP.
- SAML 2 et les Web Services : utilisation des assertions.
- Assertions SAML 2 et Secure Token Service (STS).
- Fédération avec une entité partenaire.
Syntaxe et sémantique SAML 2
- La syntaxe et les concepts : assertions, protocols, binding, profile, authentification context, metadata.
- Les “Bindings” : HTTP Redirect, HTTP Post, HTTP Artifact, SAML SOAP, Reverse SOAP, SAML URI.
- Profils définis dans SAML 2.0 : Web Browser SSO, ECP, IDP Discovery, Single Logout, Assertion Query/Request.
Etude de cas d’intégration SAML 2 au système d’information
- Web SSO SP Initiated ou IDP Initiated pour services Java, .NET et PHP.
- Fédération d’identité persistante et transitoire dans le cadre d’un partenariat.
- Assertion SAML et Web Service Security (WS-Security).
- SAML 2 et XACML.
Les modules et produits SAML 2
- Les produits et module OpenSource (OpenAM, simplesamlPHP, Shibboleth).
- Les produits commerciaux (IBM,Microsoft,Oracle).
- Comparaison des services et interopérabilité.
- Présentation et démonstration avec certains produits.
SAML 2 et les autres technologies
- SAML 2 et Kerberos, PKI, WS-Federation et OpenIDConnect.
Conclusion
- Mise en œuvre : risques, limites et recommandations. |
