SSO quesako » Historique » Version 1
Eric Lebrun, 01/03/2011 16:17
1 | 1 | Eric Lebrun | [[Utilisateurs|guides & conseils pour l'administrateur]] / [[Utilisateurs#Considérations-générales|Considérations générales]] : |
---|---|---|---|
2 | |||
3 | h2. Quelques explications concernant SSO / CAS / LDAP... |
||
4 | |||
5 | h3. S.S.O. (Single Sign On) : |
||
6 | |||
7 | Il s'agit uniquement d'un principe de fonctionnement : c'est l'idée de n'avoir à s'authentifier qu'une seule fois pour accéder à plusieurs services différents : |
||
8 | |||
9 | * sans SSO : chaque service demande de façon indépendante une identification séparée. Cela implique pour l'utilisateur autant d'id/mdp que d'applications utilisées. |
||
10 | |||
11 | * avec SSO : l'utilisateur n'a qu'un seul id/mdp, il s'identifie une seule fois et cette identification est valable pour toutes les applications affiliées au dispositif de SSO. |
||
12 | |||
13 | L'idéal est que le "Single Sign On" soit complété par un "Single Sign Off" : que la déconnexion volontaire de l'utilisateur _(d'une application affiliée, ou d'un éventuel portail commun)_ provoque (puisse provoquer) la déconnexion globale de toutes les applications affiliées. |
||
14 | |||
15 | h3. C.A.S. (Central Authentication Service): |
||
16 | |||
17 | CAS est un standard/protocole permettant le partage de session/ticket/jeton entre plusieurs applications clientes. |
||
18 | Un serveur, fournissant après une authentification réussie des jetons d'identification selon le protocole CAS à des applications clientes permet donc un fonctionnement en SSO. |
||
19 | |||
20 | Il existe plusieurs serveurs, et plusieurs clients, qui mettent en œuvre ce protocole. |
||
21 | Le serveur CAS de référence est celui de Ja-Sig, programmé en Java. Ce serveur a été créé par l'université de Yale, qui est également à l'origine du protocole CAS. Mais il en existe d'autres, dont RubyCAS-server, et un autre, programmé en Python par Eole. |
||
22 | |||
23 | h3. LDAP (Lightweight Directory Access Protocol) : |
||
24 | |||
25 | LDAP est un standard/protocole, et par extension un service d'annuaire utilisant ce standard. |
||
26 | |||
27 | Son objectif n'est pas de stocker des infos de session ou d'authentification, mais est beaucoup plus large que cela. |
||
28 | On peut y stocker des informations sur des personnes, des groupes, des machines, etc. |
||
29 | |||
30 | Un annuaire LDAP sert en général à centraliser dans un service séparé des informations qui par nature doivent pouvoir être consultées par des personnes / services _(au sens informatique)_ indépendants. |
||
31 | Les données stockées dans un annuaire LDAP sont plutôt statiques. Les données dynamiques sont de préférence stockées dans une base de données relationnelle. |