wiki:AuthentificationEtatDesLieux

Authentification : état des lieux

Problématique

L'authentification des utilisateurs est une composante majeure pour toutes les applications web. Il est en effet primordial de savoir qui se connecte.

Mais chaque application a sa propre méthode d'authentification et son propre référentiel d'utilisateurs. Le tableau suivant détaille les méthodes d'authentification pour plusieurs site à l'ENIB :

Application Méthode d'identification Référentiel d'utilisateurs
 Moodle Formulaire Base de données de Moodle
 Intranet de l'école Formulaire Base de données de  SPIP
 Site web des élèves Formulaire IMAP
 Webmail des élèves Formulaire IMAP

Nous constatons sur une liste (incomplète) de quatre site, nous avons trois référentiels d'utilisateurs sensiblement identiques. De plus l'accès à chaque application nécessite une authentification. Enfin, sur certaines applications, le couple login/mot de passe transite en clair sur le réseau.

Nous devons donc résoudre trois problèmes :

  • la centralisation des référentiels d'utilisateurs ;
  • la réduction du nombre d'authentification (idéal : on entre une seule fois son login et son mot de passe pour accéder à toutes les application) ;
  • la sécurisation de la transmission du couple login/mot de passe.

Problème 1 : centraliser les référentiels d'utilisateurs

La centralisation des référentiels d'utilisateurs est une problématique simple, et généralement résolue par l'installation d'un annuaire LDAP. Ce dernier va contenir une fiche informatisée pour chaque personne de l'ENIB ; y sera détaillé un login et un mot de passe, un prénom et un nom, une adresse email, un numéro de téléphone, etc.

La liste suivante détaille d'autres cas de figure pouvant tirer parti de l'annuaire :

  • l'authentification sur les postes Linux et Windows ;
  • l'authentification sur le serveur IMAP (s'il est compatible PAM) ;
  • le listing des adresses email dans Outlook ou Mozilla Thunderbird ;
  • l'annuaire des personnels mis en place par les élèves.

Problème 2 : réduire le nombre d'authentification

Ce problème se résout grâce au concept de Single Sign-On. C'est une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (ou sites web sécurisés).

Nous avons choisi CAS pour implémenter le Single Sign-On. C'est une solution éprouvée, exploitée dans de nombreuses universités ; c'est également un pré-requis pour l'installation de ESUP Portail. De plus, CAS peut utiliser LDAP en tant que référentiel d'utilisateurs.

Problème 3 : sécuriser la transmission du couple login/mot de passe

Pour respecter la confidentialité de la transmission du couple login/mot de passe, nous devons sécuriser deux flux avec SSL :

  • le flux entre un utilisateur et le serveur CAS ;
  • le flux entre CAS et l'annuaire LDAP.

CAS impose la transmission du couple login/mot de passe sur une connexion sécurisée HTTPS. Nous avons donc sécurisé le premier flux. LDAP propose également un mode sécurisé de transmission des données. Nous devons utiliser cette solution si nous voulons sécuriser le deuxième flux.