Gestion d'identité - Identity Access Management (IAM)

Bonjour,

Merci ! Il s’agit de mettre en place un système permettant aux informaticiens de ne pas avoir à s’identifier 20 fois sur les différents système de supervision ou métiers (opmanager, centreon. nedi, nagios, mediawiki, etc.). L’idéal étant de créer un service modulaire et réutilisable par d’autres services info. Je me renseigne aussi du côté « délégation d’autorisation » qui permettrait l’authentification sur des serveurs ou autres équipements.

Si certains ont testé différentes solutions, sans entrer dans les détails, indiquez-moi juste les solutions utilisées (et la raison du choix) et mises en production.

LemonLDAP::NG est clairement une solution répondant à ce besoin qui saura fournir du SSO sur les différentes applications Web que vous mentionnez. La solution est simple à tester (les paquets sont disponibles dans la plupart des distributions GNU/Linux).

Si vous avez des questions sur sa mise en place, vous pouvez communiquer avec la communauté par mail, IRC ou Framateam: http://lemonldap-ng.org/contact

Quelques références d’organisations l’ayant utilisé : http://lemonldap-ng.org/references

1 J'aime

Bonjour,

Effectivement comme le souligne sclavier le coût des modèles éditeurs peut vite devenir exorbitant.

Dans mon cas, le choix de l’ADFS a été fait pour le contrôle d’accès et la gestion de l’identité sur des applications hébergées dans le cloud. Ce choix ne rajoute pas de coût supplémentaire (étant donné que les licences users sont déjà payées).

En revanche nous avons un nouveau besoin, celui de gérer une identité numérique à faible coût pour des utilisateurs ne disposant pas de compte AD. L’accès se faisant uniquement par internet sur des postes en dehors de l’entreprise.

Nous avons imaginer 2 scénarios :

  1. Utiliser une infrastructure indépendante utilisant par exemple un annuaire openldap ansi qu’un opensaml ou lemonldap.
    Le problème : Est-ce qu’il sera possible de configurer la fédération d’identité avec Opensaml et ADFS pour la même application hébergé dans le cloud ?
    Enfin comment puis-je faire en sorte que mes utilisateurs présents dans OpenLdap puissent utiliser les applications internes (aujourd’hui elles utilisent l’active directory pour l’authentification).
  2. Utiliser l’OpenLdap comme annuaire et le connecter à l’ADFS :
  • Quid des licences utilisateurs ?
  • ADFS n’est pour l’instant pas compatible avec un annuaire LDAP nativement

Avez-vous déjà rencontré le même use case ?

1 J'aime

Bonjour,
Une carte d’identité cryptographique unique permettant d’identifier la machine grâce au navigateur ou l’installation d’un paquets carte d’identité (du type estonianIDcard) est je pense une des mesures nécessaire car lorsque des IOT sont utilisés pour des achats sur des sites e-commerce et qu’un individu malveillant dérobe un identifiant sur la cible il sera difficile de constater l’infraction si la machine n’a pas été signée numériquement.

Je me permet de noter que parmi les 5 plus grands réseaux sociaux mondiaux, aucun ne proposent de connection par federated user id sur leur propre site et c’est donc une initiative qui doit être choisie et documentée par le concepteur du site , ou de l’application car c’est pas obligatoire. Notons l’incohérence de se connecter sur facebook avec ses identifiants twitter…

Je penses que dans le développement d’api les meilleures pratiques seraient d’utiliser des ACL comme un standard.

Bonjour @jeremy,

ADFS est compatible SAML 2.0, il est donc possible de le relier à un autre serveur SAML 2.0 comme OpenSAML ou LemonLDAP::NG. C’est la solution la plus simple pour authentifier via SAML 2.0 des utilisateurs issus d’un annuaire OpenLDAP.

Une application (SP) peut être reliée à plusieurs serveurs (IDP), c’est prévu dans le protocole SAML mais il faut vérifier que c’est bien implémenté au niveau de l’application. Sinon LL::NG est capable de faire proxy SAML pour gérer ce cas d’usage.

Merci @coudot,
Si je choisis la solution de relier plusieurs serveur SAML 2.0 (chacun disposant de son propre annuaire).
Cette architecture me permet-elle d’authentifier des utilisateurs présents dans l’annuaire Openldap pour un accès à des applications dont l’authentification est gérée par un Active Directory ?

Si les applications sont reliées à ADFS, et que ADFS est configuré pour contacter un autre IDP qui est lui relié à OpenLDAP alors cela fonctionnera.

Bonjour @coudot,

Quel sont les autres produits libre qui implémentent la fonctionnalité proxy saml ?

Avez-vous des retours d’XP sur les produits ForgeRock de type OpenAm ?

Je ne suis pas le mieux placé pour parler d’OpenAM étant donné que je développe un logiciel concurrent, certains sur ce forum pourront certainement donner leur avis.

J’ai listé au début de ce fil de discussion un certain nombre de logiciels libres permettant de faire du SSO. Ceux permettant de faire du SAML sont à ma connaissance LemonLDAP::NG, Authentic, Shibboleth, simpleSAMLphp et Gluu.

Bonjour, @jeremy au sujet d’OpenAM de Forgerock, attention au modele economique ! Seule la version majeure (1 fois /an) est libre, si vous voulez mettre des patchs de securité au fil de l’eau, ils ne sont accessibles qu’apres une souscription aupres de Forgerock et vous devrez forcement installer la version compilée…
Méfiance, vous vous retrouverez alors dans un modele « proprietaire » avec les couts associés.

1 J'aime

Bonjour,

Je me suis inscrit sur ce forum car il me semble intéressant par rapport à ma problématique.
On souhaite installee un IAM dans ma société mais le coût de facturation à l’identité peut s’avérer exhorbitant.
On souhaite comme 2 périmètres :
Gestion des Identités
Workflow d’approbation, demande en slf-service, gestion du risque et reporting mais pas de
provisioning car ce sera les applicatifs qui devront venir chercher les habilitations
Gestion des accès
Fédération d’identité avec SAML

Ma question sera simple.

Quelle solution libre me conseillez-vous s’il en existe une ou les solutions si plusieurs ?

Merci d’avance de vos retours

Bonjour,

j’ai fait une liste assez complète des solutions existantes ici : Gestion d'identité - Identity Access Management (IAM)

Concernant le besoin de workflows/reporting/etc. je ne connais pas assez les outils pour me prononcer, mais je pense que Midpoint mérite d’être testé.

Pour la question de gestion des accès et fédération des identités, je recommande pour ma part LemonLDAP::NG, mais c’est subjectif car je suis l’un des développeurs de ce projet.

Merci pour les informations.

Je vous tiens au courant sur nos tests

Bonjour Jeremy,

je réagis a ton message, depuis longtemps on c’est posé la question de comment des systèmes informatiques ( OS) pouvaient parler le même langage et se comprendre ?!
alors on a inventé XML, modèle de données et on le transporte via un moteur XML vers l’OS distant vers un service souhaité…

Voilà

Bonjour,
Je rebondis sur la réponse de @coudot, Lemonldap::NG (dont je suis également développeur et donc pas complètement objectif ;-)) a de bonnes références dans l’administration avec de grosses instances en production depuis de nombreuses années. C’est même de loin le SSO le plus utilisé dans l’administration.

1 J'aime

Je prefere les démarches en ligne restent toujours possible même sans authentification/identification, i.e. je peux toujours constituer ma demande en ligne tel que acte de naissance , kbis, non gage et la finaliser par un autre canal ou je serai identifié si nécessaire