Memoire Shibboleth

Mmoire de fin de cycle

REPUBLIQUE DU SENEGAL

***** * * ********

Ecole Centrale des Logiciels Libres et de

Tlcommunications

SUJET : Conception et implmentation d'une plateforme de

fdration didentit pour lUniversit Virtuelle du Sngal

MEMOIRE DE FIN DE CYCLE

Pour lobtention du Diplme de master en Tlcommunications/Rseaux

Option: Rseaux et Services

Lieu de stage : RTN Priode stage : Aot Dcembre 2013

Prsent et soutenu par Professeur encadreur :

NIANG Pape Saer Dr. Samuel OUYA

Anne universitaire : 2011 2013

Mmoire de fin de cycle NIANG Pape Saer

Conception et implmentation d'une plateforme de fdration didentit pour luvs

i

Je ddie ce travail mes parents:

Aucune ddicace ne saurait exprimer mon respect, mon amour ternel et ma considration pour

les sacrifices que vous avez consenti pour mon instruction et mon bien tre.

Je vous remercie pour tout le soutient et lamour que vous me portez depuis mon enfance et jespre

votre bndiction maccompagne toujours.

Que ce modeste travail soit lexaucement de vos vux tant formuls, que Dieu, le Trs Haut, vous

accorder sant, bonheur et longue vie.

A mon pre CHEIKH NIANG

Rien au monde ne vaut les efforts fournis jour et nuit pour mon ducation et mon bien tre. Ce

travail est le fruit de tes sacrifices que tu as consenti pour mon ducation et ma formation.

A ma mre ANNE MARIE BA

A ma tante AMINATA GUEYE

Vous tes lexemple de dvouement qui na pas cess de mencourager et de prier pour moi.

Puisse ALLAH, le tout puissant, vous prserve et vous accorde sant, longue vie et bonheur.

Ddicaces



ii

Je ne saurais commencer ce mmoire sans remercier ALLAH le tout puissant, qui a toujours

guid mes pas vers le chemin de la connaissance, par sa protection et sa bndiction.

Je tiens aussi remercier et tmoigner toute ma reconnaissance :

A mon pre Cheikh Mor Niang et ma tante Bousso Kass et toute la famille.

Au Docteur Samuel OUYA, notre encadreur, pour sa disponibilit et ses multiples recommandations.

A Monsieur Amadou Dahirou Gueye et Jean Diokh pour leurs contributions

A Monsieur Alfatma THIAM et Abdou Salam BA

A mes frre Aly Niang et El hadji Mamadou Niang pour tout leur soutient

A mes surs Kine, Diatou et Mami

A tous les membres du laboratoire TICE du groupe RTN : Mouhamadou Yaya Sow, Achiraf Amoussa, Alkhali Saleh, Yvan Kalia, Yanness Allabi, Gilchrist Ayeboua, Cherif

Tchagbele

A tout le personnel de RTN et EC2LT

A toutes les personnes qui de prs ou de loin, ont contribu la ralisation de ce document.

Remerciements



iii

Lcole Centrale des Logiciels Libres et des Tlcommunications (EC2LT) est une cole prive

denseignement suprieur universitaire et professionnelle qui offre une palette de formations axe sur

l'informatique, les rseaux et tlcommunications en partenariat avec le groupe RTN (Rseaux et

Techniques Numriques).

La formation en master est sanctionne par deux annes dtudes thoriques et pratiques suivi

d'un stage dans une entreprise.

Le stage en entreprise est un moment important de mise en pratique des enseignements reus. Il

permet tout dabord ltudiant de faire une application relle des connaissances thoriques, ensuite,

mne ltudiant exprimer les acquis pdagogiques en savoir-faire et savoir tre, lui permettant de se

positionner dans le monde du travail. En outre, il permet ltudiant de travailler sur un projet de fin

dtudes et de mener bien llaboration de celui-ci depuis ltude pralable jusqu sa mise en uvre.

Durant son stage ltudiant exprime son niveau de maturit dautonomie, et de sa capacit voluer en

dehors du milieu scolaire, dans le strict respect des rgles du monde du travail.

Les tudiants issus de cette formation vont capitaliser des comptences professionnelles

diverses leur permettant dintgrer le monde professionnel pour rpondre aux besoins et exigences des

entreprises dans les domaines des technologies de l'information et de la communication et le

dveloppement des applications autour des logiciels propritaires et libres.

Cest dans cette optique que nous avons effectu un stage de quatre (4) mois la R.T.N. Durant

cette priode, notre travail consistait concevoir et dimplmenter un systme de fdration d'identit

qui entre dans le cadre du projet de l'Universit Virtuelle du Sngal.

Ce document tient lieu de mmoire de fin de formation et a pour objectif de prsenter le travail

effectu sur le thme propos dont, la soutenance est publique et sera soumis lapprciation d'un jury.

AVANT PROPOS



iv

RESUME

La multiplication et la diversit des systmes dauthentification lie aux ressources numriques

constituent un enjeu majeur pour les entreprises, en effet chaque application est soumise une

procdure de contrle daccs spcifique.

De ce fait chaque opration raliser peut ncessiter un contrle daccs et des droits associs,

pouvant entrainer une confusion pour lutilisateur qui, par exemple perd, ou oublie ses mots de passe.

Le prsent mmoire consiste concevoir et mettre en place une fdration dindent via

lapplication Shibboleth pour rpondre aux besoins dinterconnexion des systmes dauthentification

dorganismes htrognes en proposant deux services : la dlgation de lauthentification et la

propagation dattributs utilisateur afin d'ouvrir laccs des ressources partages.

Les technologies de linformation et de la communication mis en uvre ont alors pour objectif

de mettre en relation les membres de la fdration et les systmes dinformations des organisations

physiques dorigine impliques dans le partenariat. La difficult rside alors dans les diffrences au

niveau des infrastructures et des politiques de scurits implmentes par chacun des partenaires.

Chacun dentre eux doit sinterconnecter avec les autres et permettre le partage des ressources tout en

prservant la scurit de sa propre organisation.

Mots clefs : Fdration didentits, propagation dattributs, organisation virtuelle, SAML, Shibboleth.

RESUME/ABSTRACT



v

ABSTRACT

Multiplication and diversity of authentication systems related to digital resources is a major

challenge for companies, in fact each application is subject to a procedure specific access control.

Thus each operation to be performed may require access control and related rights, that could

cause confusion for the user, for example lost or forgotten passwords.

Herein is to design and implement an indented federation via Shibboleth software to meet the

interconnection needs of heterogeneous organizations authentication systems by offering two services:

authentication delegation and propagation of user attributes to provide access to shared resources.

The information technology and communication implemented then aim to bring together

members of the federation and the information of the physical origin of organizations involved in the

partnership systems. The difficulty lies in the differences in infrastructure and security policies

implemented by each partner. Each must interconnect with each other and enable the sharing of

resources while preserving the security of its own organization.

Keywords: Federation of identities, propagation attributes, virtual organization, SAML, Shibboleth.

RESUME/ABSTRACT



vi

DEDICACES .................................................................................................................................... i

REMERCIEMENTS .........................................................................................................................ii

AVANT-PROPOS ............................................................................................................................iii

RESUME / ABSTRACT ...................................................................................................................iv

TABLE DES MATIERES .................................................................................................................vi

LISTE DES TABLEAUX ................................................................................................................ ix

LISTE DES FIGURES .......................................................................................................................x

SIGLES ET ABREVIATIONS ......................................................................................................... xi

INTRODUCTION

Chapitre 1: Prsentation Gnrale ........................................................................................................ 3

1.1 Prsentation de lentreprise RTN ............................................................................................ 3

1.2 Missions de RTN ..................................................................................................................... 3

1.3 Organigramme de RTN ........................................................................................................... 3

1.4 Domaine dactivits ................................................................................................................. 4

1.5 Prsentation de l'Universit Virtuelle du Sngal(UVS) ........................................................ 5

1.6 Mission de l'Universit Virtuelle du Sngal.............................................................................. 8

1.7 Concept d'Espace Numrique Ouvert (ENO).......................................................................... 9

1.8 Prsentation du sujet .............................................................................................................. 10

1.8.1 Contexte du sujet ............................................................................................................... 10

1.8.2 Problmatique .................................................................................................................... 11

TABLES DES MATIERES



vii

1.8.3 Objectifs attendus .............................................................................................................. 12

Chapitre 2: tat de lart de la fdration d'identit .......................................................................... 13

2.1 Concepts dorganisations virtuelles ...................................................................................... 13

2.2 Dfinition de la fdration d'identit ..................................................................................... 14

2.3 Cercle de confiance ............................................................................................................... 15

2.4 Fonctionnement des fdrations d'identits........................................................................... 16

Chapitre 3 : Systme dauthentification centralis ............................................................................ 18

3.1 Single Sign-On (SSO) ........................................................................................................... 18

3.2 Mthode d'authentification SSO............................................................................................ 19

3.3 Les diffrents types dauthentification unique ...................................................................... 20

3.3.1 Approche fdratif ............................................................................................................. 20

3.3.2 Approche centralis ........................................................................................................... 20

3.3.3 Approche cooprative ....................................................................................................... 20

3.4 Prsentation du CAS ............................................................................................................. 21

3.5 Fonctionnement du CAS ....................................................................................................... 21

3.6 Gnralits sur les annuaires lectroniques .......................................................................... 22

3.6.1 Prsentation ....................................................................................................................... 22

3.6.2 Diffrences entre annuaire et une Base de Donnes ......................................................... 23

3.6.3 Protocole LDAP ................................................................................................................ 23

3.6.4 Les classes d'objets ............................................................................................................ 24

3.6.5 Les schmas ....................................................................................................................... 25

3.6.6 La norme Supann .............................................................................................................. 25

3.6.7 Les objectifs de la norme Supann ..................................................................................... 26

3.6.8 Prsentation des schmas .................................................................................................. 26

3.7 Structure du DIT (Directory Information Tree) .................................................................... 27



viii

3.7.1 Scurit LDAP .................................................................................................................. 28

3.8 Les solutions techniques ........................................................................................................ 31

3.8.1 Les solutions propritaires ................................................................................................ 32

3.8.2 La solution libre : Shibboleth ............................................................................................ 32

3.9 Le choix de Shibboleth .......................................................................................................... 36

Chapitre 4: Le systme Shibboleth ...................................................................................................... 37

4.1 Les composants de Shibboleth .............................................................................................. 37

4.1.1 Fournisseur de services ..................................................................................................... 37

4.1.2 Fournisseur d'identits(IDP) .............................................................................................. 37

4.1.3 Service de dcouverte ........................................................................................................ 38

4.2 Le fonctionnement de Shibboleth ......................................................................................... 38

4.2.1 Le fonctionnement de Shibboleth sans SSO .................................................................... 38

4.2.2 Le fonctionnement de Shibboleth avec SSO .................................................................... 41

4.2.3 Le fonctionnement de Shibboleth avec SSO et WAYF ................................................... 43

4.3 Fdration didentits avec Shibboleth ................................................................................. 45

4.3.1 Mtadonnes ...................................................................................................................... 45

4.3.2 Relations de confiance entre les membres d'une fdration .............................................. 46

4.4 Scuriser linformation change entre les diffrents composants ...................................... 47

4.4.1 Security Assertion Markup Language (SAML) ................................................................ 47

4.4.2 Web Services-Federation (WS-Federation) ...................................................................... 48

4.4.3 Liberty alliance .................................................................................................................. 48

Chapitre 5: Implmentation de Shibboleth ........................................................................................ 49

5.1 Conception de lannuaire LDAP .......................................................................................... 49

5.2 Installation de lIdP ............................................................................................................... 51



ix

5.3 Installation du SP .................................................................................................................. 55

5.3.1 Installation du WAYF ....................................................................................................... 58

5.4 Shibbolisation de quelques ressources .................................................................................. 60

5.4.1 Moodle .............................................................................................................................. 60

5.4.2 Authentification shibboleth pour Moodle ......................................................................... 60

5.5 Intgration de Shibboleth ESUP-PORTAIL ...................................................................... 63

5.5.1 Le projet ESUP-PORTAIL ............................................................................................... 63

5.5.3 Shibbolisation de Esup ...................................................................................................... 66

Conclusion ............................................................................................................................................... 67

REFERENCES ........................................................................................................................................ 69

Bibliographie ........................................................................................................................................... 69

Webographie ........................................................................................................................................... 69

ANNEXES .............................................................................................................................................. 70



x

Table 1.3. Attributs shac de lannuaire LDAP................................................................................................34

Tableau 3.1. Comparaison des produits de fdration d'identit............................................................40

Tableau 5.1. Attributs communs aux utilisateurs....................................................................................55

Table 5.2. Attributs spcifiques aux personnels......................................................................................55

Table 5.3. Attributs spcifiques aux tudiants........................................................................................56

Table 5.4. Attributs spcifiques aux enseignants .................................................................................. 56

Liste des Tableaux



xi

Figure 1.1- Organigramme RTN ...........................................................................................................14

Figure 2.1- Organisation virtuelle .........................................................................................................23

Figure 2.2 - Fonctionnement dun cercle de confiance ..........................................................................25

Figure 2.3- Schma rcapitulatif dune fdration didentit ...............................................................26

Figure 3.1- Authentification SSO ...........................................................................................................28

Figure 3.2- Fonctionnement du CAS .....................................................................................................30

Figure3.3-Structure du DIT ....................................................................................................................37

Figure 3.4- Architecture des annuaires maitre esclaves ......................................................................38

Figure 3.5-Architecture Fonctionnelle dun annuaire en referral ..........................................................39

Figure 4.1- Authentification et envoie du nameId vers le SP .................................................................47

Figure 4.2- Rcupration des attributs de lutilisateur par ls SP ............................................................47

Figure 4.3- Envoi de la rponse de SP lutilisateur .............................................................................48

Figure 4.4- Point de vue ct utilisateur..................................................................................................48

Figure 4.5- Premire requte vers un SP ................................................................................................49

Figure 4.6- Point de vue utilisateur dans un contexte SSO ....................................................................50

Figure 4.7- Redirection vers le WAYF puis vers le CAS .......................................................................51

Figure 4.8- Redirection du serveur SSO vers lIdP puis le SP ...............................................................52

Figure 4.9- Point de vue utilisateur dans un contexte SSO et WAYF ....................................................52

Liste des Figures



xii

Figure 5.1- Dploiement de lIdP par Tomcat .......................................................................................62

Figure 5.2- Service de dcouvertes ........................................................................................................69

Figure 5.3- Authentification via SSO natif de Shibboleth .....................................................................70

Figure 5.4- Authentification via CAS ....................................................................................................70

Figure 5.5- Page daccueil de la ressource .............................................................................................71

Figure 5.6- Portail Esup .........................................................................................................................72

Figure 5.7- Authentification Shibboleth dans Esup ...............................................................................73



xiii

Nous prsentons ici quelques sigles et abrviations que nous utiliserons dans le document.

CAS Central Authentication Service

HTTPS HyperText Transfert Protocol Secure

LDAP Lightweight Directory Access Protocol

IdP Identifier Provider

SP Service Provider

WAYF Where Are You From

SAML Security Assertion Markup Language

PHP Hypertext Preprocessor

PT Proxy Ticket

RTN Rseaux et Techniques Numriques

UVS Universit Virtuelle du Sngal

ENO Espace Numrique Ouvert

SSL Secure Sockets Layer

SSO Single Sign On

ST Service Ticket

PGT Proxy Granting Ticket

TGC Ticket Granting Cookies

TIC Technologies de lInformation et de la Communication

TICE Technologies de lInformation et de la Communication pour lEnseignement

XML eXtensible Markup Language

ARP Attribute Release Policy

CNAES Concertation Nationale sur lAvenir de lEnseignement Suprieur

STEM Sciences, Technologie, Ingnierie Mathmatiques

Sigles et Abrviations



1

Lmergence des Technologies de lInformation et de la Communication (T.I.C) et plus

particulirement du rseau de communication Internet est sans conteste la prouesse du millnaire

ralise par les hommes. Elle a abouti une croissance exponentielle dchanges d'applications web

via les rseaux informatiques.

Cette multiplication des applications web est une ralit dans les tablissements, entranant

ncessairement une authentification des utilisateurs. Ces derniers sont amens fournir de nombreuse

fois auprs de chacune de ces applications, en multipliant les couples identifiant/mot de passe retenir.

Le dploiement des annuaires LDAP, outre leur apport fonctionnel pour la gestion des groupes, a

permis de simplifier la situation en utilisant un rfrentiel d'authentification commun la majorit des

applications. Ainsi pour les applications utilisant ce rfrentiel dauthentification, lutilisateur peut

utiliser un mot de passe unique.

La mise en place d'un systme de Single Sign On (SSO) doit permettre l'utilisateur de saisir un

mot de passe une seule fois pour accder toutes les applications web de ltablissement, amliorant

ainsi la fois l'ergonomie d'accs aux applications et la scurit du systme d'information en limitant la

circulation des mots de passe.

La fdration didentit rpond ce besoin dinterconnexion des systmes dauthentifications et

offre un cadre technique et de confiance permettant ses participants de scuriser et de simplifier

l'accs des ressources Web.

Elle permet galement aux utilisateurs ayant droit sur les ressources de rduire le nombre de

mots de passe retenir, et aussi une meilleure matrise de la diffusion de donnes caractre personnel

Le prsent mmoire comporte cinq (05) chapitres :

Dans le premier chapitre nous prsenterons la structure daccueil ainsi que le contexte, la

problmatique, et les objectifs vises travers cette tude.

Introduction



2

Le deuxime chapitre mettra laccent sur ltat de lart et les concepts de fdration didentit

afin de mieux simprgner du sujet traiter.

Dans le troisime chapitre nous parlerons des systmes dauthentifications qui sont

indispensable dans une fdration didentit.

Dans le quatrime chapitre une tude dtaille de la technologie Shibboleth sera effectue

Enfin dans le cinquime chapitre une phase dimplmentation des diffrents composants de

Shibboleth et a ralis pour obtenir une fdration didentit digne de ce nom.



3

Chapitre 1: Prsentation Gnrale

Ce chapitre prsente la structure daccueil du stage ainsi que le cadre gnral du projet travers

la problmatique, les objectifs viss, et la prsentation de lUniversit Virtuelle du Sngal.

1.1 Prsentation de lentreprise RTN

Rseaux et Techniques Numriques est une socit dirige par une quipe de professionnels

qualifis, spcialise en logiciels libres et centre sur les services informatiques, techniques numriques

et tlcommunications. La socit offre une large gamme de formations se basant sur des supports de

cours, fruits de recherches approfondies. Ces supports tests et avrs permettent aux apprenants dtre

aussitt oprationnels.

RTN dispose dune quipe de recherche pluridisciplinaire (informaticiens, Mathmaticiens, Tl-

communicants, etc.) travaillant sur ladministration et la scurit des rseaux informatiques, des

travaux de recherche sur les technologies innovantes, les nouvelles techniques de simulations

numriques, des problmes conomiques, environnementaux et dingnierie.

1.2 Missions de RTN

La mission du groupe RTN vise accrotre la comptitivit de ses clients par la valorisation des

composantes informatiques, logicielles et rseaux constituants le systme d'information de ces derniers.

Cela leur confre des gains importants en produisant plus et mieux budget rduit, grce

lexploitation de la puissance des logiciels libres existants et ceci, sans rupture des cycles d'exploitation

de service de ces entreprises et sans remise en cause organisationnelle. Leur principal objectif est de

conseiller et de former le personnel des entreprises qui veulent disposer des logiciels libres et adapts

leurs besoins minimisant ainsi les cots d'investissements en rseaux informatiques tout en leur

apportant une scurit avance.

1.3 Organigramme de RTN



4

Figure 1.1-Organigramme RTN

1.4 Domaine dactivits

La socit RTN offre une palette de services dans le domaine de la technologie de linformation et de

la communication. Les services de RTN sont orientes Open Source et ralises selon les besoins et

l'exploration des opportunits d'entreprise. Elles rpondent par consquent aux problmes rels.

RTN met galement un accent sur le dveloppement des services valeurs ajoutes, et

linterconnexion des rseaux Linux et Windows, participant ainsi la cohabitation et lharmonisation

des rseaux htrognes Linux-Windows.

Depuis septembre 2013 la RTN a mis en place trois laboratoires de recherche dans les domaines

suivants :

0-1

Conseil d'Orientation Scientifique

DG

Directeur Formation Recherche EC2LT

Service acceuil, info,

animation scolaire

Bureau des tudiants

Service Ressource

Technique et Documentaire

Service scolarit,

recouvrement et caisse

Dpartements

Commissions permanentes

ou adhoc

Conseil de la vie scolaire et

des tudes (DFR)

Service Recherche

dploiement & formation

Service comptabilit

et finance

Service marketing

communication &

commerciales



5

le laboratoire de Cloud Computing

le laboratoire des technologies de linformation et de la communication pour

lenseignement(TICE) est charg dimplmenter des technologies et outils pour lefficacit de

lenseignement avec des plateformes varies comme Moodle, BigBlueButton Wims Shibboleth,

EsupPortal.

le laboratoire de Virtualisation

La RTN intervient galement dans les domaines suivants :

Conseils et orientations professionnelles pour la gestion dun rseau dentreprise

Mise niveau du personnel des entreprises

La RTN dispense aussi un ventail de formations dont la liste non exhaustive est la suivante

Tlphonie sur IP avec le protocole SIP

Tlphonie sur IP avec le protocole H323

Tlphonie sur IP avec lIPBX open source Asterisk

Mise en place de la Tlphonie sur IP avec le Call Manager de Cisco

Messagerie collaborative

Les services rseaux

RTN intervient galement dans les domaines suivants :

Une expertise approfondie en logiciels libres

Une expertise en ingnierie des rseaux

Une expertise dans les plateformes de formation distance (e-Learning)

Une expertise dans les plateformes denvironnement numrique de travail

Une expertise dans les plateformes de fdration didentits

Une expertise en cloud computing

Une expertise en virtualisation

1.5 Prsentation de l'Universit Virtuelle du Sngal(UVS)

En dcidant de mettre en place lUniversit virtuelle du Sngal (UVS), lEtat du Sngal



6

travers le Ministre de lEnseignement Suprieur et de la Recherche sengage dans un extraordinaire

pari sur lavenir qui peut changer jamais le visage de lenseignement suprieur en particulier et de la

formation en gnral au Sngal. LUVS [W01] est la sixime universit publique sngalaise, elle est

de ce point de vue une universit comme les autres.

Toutefois la spcificit de lUVS tient au fait que le modle de livraison des enseignements fait

essentiellement appel aux Technologies de lInformation et de la Communication (TIC) alors que dans

le modle traditionnel la livraison des enseignements se fait en prsentiel, face face.

Pour ce qui est du modle dvaluation des tudiants, lUVS se retrouve dans le mme modle que les

universits traditionnelles en ce sens que les valuations se feront en prsentiel et sous surveillance.

LUVS sinscrit naturellement dans la mouvance du systme LMD (Licence Master Doctorat). Les

tudiants de lUVS sont tenus deffectuer les diffrents parcours de formation qui leur sont proposs

dans les mmes dlais et avec les mmes contraintes acadmiques que leurs homologues du systme

traditionnel.

Le dispositif ci-dessus dcrit est celui de la formation initiale qui est proposes aux bacheliers

nouvellement orients lUVS. Toutefois, lUVS a lambition de toucher trs rapidement dautres

segments demandeurs en formations, et pour ces derniers les formats dapprentissage adquats seront

proposs.

Pour mener bien sa mission lUVS, sappuie sur un rseau dEspaces Numriques Ouverts

(ENO). Les ENO sont les terminaisons physiques de lUVS, ce sont de vritables synapses partir

desquelles luniversit interagit avec ses apprenants et son environnement. Le rseau des ENO ira en se

densifiant au cours des annes venir permettant ainsi lUVS de procder un maillage optimal du

territoire sngalais. LUVS apparat de ce fait comme tant un lment majeur de lamnagement

numrique du territoire national. Cependant, lUVS sera partout o le rseau la portera, cest donc dire

que lambition de lUVS terme ne se limite pas seulement au territoire physique du pays.

LUVS propose une palette de formations que sont :

Anglais

- Assistanat/Secrtariat de direction bilingue

- Tourisme et industrie culturelle



7

- Marketing et Communication

- Littrature et civilisation Anglophone

- Mtiers de lhumanitaire et du dveloppement social

Sciences conomiques et de Gestion

- Licence Comptabilit Finance

- Licence Economie sociale et solidaire (ESS)

- Licence Management des petites et moyennes organisations

- Licence Micro finance Assurance

- Licence Management des organisations sanitaires et sociales

Sciences juridiques et Politiques

- Licence Droit Public

- Licence Droit Priv

- Licence Sciences Politiques

Mathmatiques appliques et informatique (MAI)

- Mathmatique

- Informatique

Sociologie

- Intervention sociale

Une filire est compose de modules qui apportent aux tudiants des comptences et savoir-faire utiles

la maitrise de leur environnement de travail, leur dveloppement personnel et qui seront capitaliss

comme des lments denrichissement de leur profil au terme de leur formation.

- La maitrise de lenvironnement de travail

- Les outils de bureautiques courants

- Langlais et bien dautres modules qui seront dlivrs tout au long du parcours de ltudiant



8

Les tudes lUVS dmarrent par certains modules jugs fondamentaux pour une mise niveau

des tudiants et le partage dun minimum de comptences communes.

1.6 Mission de l'Universit Virtuelle du Sngal

La cration de lUVS par dcret N 2013-1294 est une mise en uvre de la dcision 02 du Conseil

Prsidentiel du 14 aot 2013 qui consiste "Mettre les Technologies de lInformation et de la

Communication (TIC) au cur du dveloppement de lenseignement suprieur et de la recherche pour

amliorer laccs lenseignement suprieur et lefficacit du systme". Cette dcision porte sur les

directives suivantes:

Mettre en place lUniversit virtuelle sngalaise (UVS) et des Espaces numriques ouverts

(ENO) dans chacune des rgions du Sngal et au sein des universits publiques.

Mettre en place le systme dInformation et de Gestion de l'Enseignement Suprieur et de la

Recherche(SIGESR).

Interconnecter tous les tablissements denseignement suprieur public et priv.

Crer une bibliothque nationale virtuelle pour partager les ressources numriques.

Crer le Centre de Mutualisation et de Partage(CMP) de l'enseignement suprieur et de la

recherche.

Dvelopper lenseignent distance et encourager le personnel denseignant et de recherche

utiliser les TIC.

Le but principal de l'UVS est de contribuer au dveloppement du capital humain travers une

formation qualifiante et efficiente par les TIC pour un dveloppement conomique inclusif du pays.

Pourquoi avoir cre lUVS ?

Pour rpondre une demande croissante daccs l'enseignement suprieur.

Pour avoir une universit qui sintgre au tissu social, dlivrer des formations en adquation

avec la demande du march (emploi & auto emploi).

Pour tre le vecteur de concepts lis : lusage des TIC des fins pdagogiques, aux capacits

lies lapprentissage tout au long de la vie, lautonomie, aux capacits lies au travail

collaboratif.



9

Pour faire du concept une formation pour tous une ralit, acclrer l'amnagement numrique

du territoire.

Pour renforcer la position du pays dans lconomie de la connaissance.

Luniversit Virtuelles du Sngal est destine pour les:

Les nouveaux bacheliers (priorit de lUVS);

Les personnes mobilit rduite ou dans limpossibilit de suivre des enseignements dans les

universits traditionnelles ;

Les femmes qui trouveront travers lUVS un modle capable de les accueillir et de les

maintenir dans lenseignement suprieur ;

Les professionnels en activit

Les exclus du systme universitaire traditionnel ;

Les cibles des partenaires tels que les ministres, entreprises, universits nationales et

trangres, organismes internationaux.

1.7 Concept d'Espace Numrique Ouvert (ENO)

Le Ministre de lEnseignement Suprieur et de la Recherche (MESR), prenant en compte les

aspects socioculturels et les contraintes lies lenseignement distance, prvoit un dispositif original

pour accompagner et faciliter laccs aux diverses ressources et services. Ce dispositif est lEspace

Numrique Ouvert (ENO). Les ENO sont conus pour offrir un cadre technologique performant aux

tudiants, lves, enseignants et chercheurs, groupements socio-conomiques et autres acteurs.

Dans le cadre de lUVS, le rseau des ENO ira en se densifiant au fil des ans. Les tudiants de

lUVS trouveront toutefois dans leur ENO de rattachement des quipements, des ressources et des

outils informatiques ncessaires au bon droulement des activits pdagogiques. Espaces de

socialisation par excellence, les tudiants trouveront dans leur ENO les appuis en cas de difficult mais

aussi les conditions et les activits propices laffermissement dun sentiment dappartenance.

Pour faciliter tous, et en particulier aux tudiants, laccs aux ressources numriques et aux

quipements informatiques, lUVS mettra en place sur lensemble du territoire national des ENO. Ces

ENO permettront aux tudiants daccder des quipements, des ressources et des outils



10

informatiques ncessaires au bon droulement des activits pdagogiques. Ils permettront galement de

disposer de relais physiques pour un bon dploiement de lUVS, et en ce sens, ils permettront la fois

de disposer despaces pour les enseignements prsentiels ou pour les travaux collaboratifs.

1.8 Prsentation du sujet

1.8.1 Contexte du sujet

A lheure o la socit de linformation et du savoir simpose un peu partout travers le monde

et que les technologies de linformation et de la communication envahissent chaque jour un peu

plus tous les secteurs de lactivit humaine, lenseignement suprieur et de la recherche ne peuvent

rester en marge de ce phnomne.

Dans le cadre des rformes universitaires lances au Sngal en vue damliorer la qualit de

lenseignement comme de la recherche, de faciliter laccs aux ressources numriques, dappuyer le

dveloppement de lenseignement distance, et surtout de mieux armer les tudiants en vue dune

insertion russie dans le monde du travail, l' tat du Sngal a dcid dinvestir massivement dans les

TIC. Pour ce faire, le gouvernement du Sngal a organis une Concertation nationale sur lavenir de

lenseignement suprieur, en dsignant un comit de pilotage dont les membres proviennent de toutes

les composantes de la socit (universitaires, chercheurs, entrepreneurs, parlementaires, membres de la

socit civile).

La principale orientation de cette rforme est la rorientation du systme denseignement

suprieur sngalais vers les sciences, la technologie, lingnierie et les mathmatiques (STEM) ainsi

que la promotion des formations professionnelles.

En outre, le Contrat de performance, sign entre ltat et les universits public du Sngal avec

lappui technique et financire de la Banque mondiale, va mettre la disposition des universits, des

crdits additionnels pour une perspective dexcellence.

Toutes les universits ont formuls leurs besoins pour atteindre le pari de la performance,

cependant elles ont tous un point commun : disposer d'une plate-forme d'enseignement distance.

Suite au besoin numr ci-dessus, lEtat du Sngal a recommand la cration de lUniversit

virtuelle du Sngal qui sappuie sur : des espaces numriques ouverts, un environnement de travail



11

numrique(ENT) et une plateforme de-Learning afin doffrir un accs partag des ressources

numriques.

LUVS qui repose sur la formation distance, prconise de mettre en place une solution de-

Learning base sur MOODLE pour mettre la disposition des universits des ressources numriques

dont les cours seront rdigs et posts par des professeurs issus des diffrents tablissements afin de

fournir des contenus de qualits.

Fort de ce constat, le partenariat entre les diffrents organismes disperss gographiquement,

notamment les universits est gnralement pressenti comme une ncessit tant pour les tudiants que

pour les formateurs. En effet, il constitue une rponse la carence de ressources disponibles et permet

douvrir laccs une ressource locale d'autres tablissements, mais aussi un levier pour faire de

l'enseignement suprieure le moteur du processus devant conduire le Sngal vers lmergence

conomique et sociale.

1.8.2 Problmatique

Les entreprises comme les tablissements suprieurs connaissent un rel besoin de cooprer en

extriorisant leurs ressources ; particulirement web qui ont l'apanage dtre plus rapide et moins

coteuses mettre en uvre, dlivrant souvent les entreprises de la complexit d'administration de

l'infrastructure. Les applications Web permettent aussi de simplifier, d'acclrer et d'amplifier les

changes entre l'entreprise et ses partenaires, cependant chaque connexion sur une application,

l'utilisateur doit fournir un identifiant et un mot de passe spcifiques la plate-forme Web visite.

Chaque utilisateur doit donc retenir plus d'une dizaine d'identifiants et de mots de passe, plus ou

moins complexes selon les exigences de scurit de l'application.

Soucieux des pertes ou doublis des paramtres des connexions chez les usagers, alors il savre

ncessaire de mettre en place une solution palliative pour contourner le problme dauthentification

multiple.

Pour rsoudre les problmes numrs ci-dessus en toute scurit tout en rduisant les cots et

en amliorant la productivit, alors on a recours la fdration didentit qui met la disposition de

nos utilisateurs un passeport unique pour accder aux diffrentes applications via un mcanisme de

propagation didentits.



12

1.8.3 Objectifs attendus

Les objectifs principaux de ce mmoire consistent :

mettre en place un systme dinformation (rfrentiel utilisateur)

concevoir et dployer un systme de fdration didentit



13

Chapitre 2: tat de lart de la fdration d'identit

Ce chapitre prsente ltat de lart de la fdration d'identit, dont lobjectif est didentifier et

cerner les concepts lis aux organisations virtuelles et leurs modes de fonctionnement.

La fdration d'identit fournit un moyen de dlgation de l'authentification et du processus

d'affectation d'accrditations. Ceci permet une organisation de ne grer que ses propres utilisateurs et

dlguer la tche de gestion des utilisateurs externes leurs organisations de rattachement fournissant

ainsi une solution l'htrognit des systmes d'authentification et d'accrditation adopts au niveau

des sites partenaires. Une fdration repose la fois sur une infrastructure informatise et une

architecture de services.

2.1 Concepts dorganisations virtuelles

Les besoins de collaboration entre organisations et les facilits technologiques donnent

aujourdhui naissance une nouvelle forme dorganisation et de coopration dnomme : Virtuelle

Eva Fueher (1997) dans [B01] dfinit l'organisation virtuelle(OV) comme un rseau temporaire

d'institutions indpendantes, entreprises ou individus, qui travers l'utilisation des technologies de

l'information et de la communication s'unissent spontanment pour atteindre leurs objectifs qui sont

gnralement orients sur la mobilisation des ressources et des comptences distinctives places

dans diffrents lieux gographiques.

Contrairement aux organisations traditionnelles, les frontires de lorganisation virtuelle restent

ambigus. Ces frontires sont dfinies par la stratgie de chacune des organisations pour raliser les

tches qui lui sont confies.



14

Figure2.1-Organisation virtuelle

2.2 Dfinition de la fdration d'identit

Une fdration didentit est une organisation virtuelle constitue dun groupe dorganisations qui

sont lies entre elles par des intrts communs dans un ou plusieurs domaines daffaires. Chaque

organisation de la fdration est autonome et dlgue celle-ci la gestion des accs. Cette gestion

permet lauthentification et lautorisation des usagers selon un niveau de confiance dfini par des

politiques de la fdration.

Les services de la fdration offrent les oprations suivantes :

mission, validation et transmissions des informations relatives aux utilisateurs, des demandes

de justification, des attributs et des assertions relatives la scurit;

Intgration des informations relatives la scurit;

Application des politiques qui utilisent les informations relatives la scurit, afin de valider

lautorisation pour une demande ou une action sur une ressource ou un service



15

Les solutions de fdration didentits permettent une application, dans un organisme, dinteragir

avec un systme dauthentification dune autre entit. Lapplication, appele fournisseur de service(ou

SP, Service Provider), dlgue la phase dauthentification dun utilisateur lorganisme auquel il est

rattach, appel fournisseur didentit(ou IdP, Identity Provider). Le SP conserve la prrogative du

contrle daccs, mais peut pour cela utiliser des attributs de lutilisateur fournis par lIdP. Un SP peut

tre sollicit par des utilisateurs issus de diffrents IdP. Inversement, les utilisateurs rattachs un IdP

peuvent accder diffrents SP.

2.3 Cercle de confiance

La dfinition des relations de confiance entre les IdP et les SP un plus haut niveau est cruciale.

Un SP se repose sur les IdP pour assurer une authentification sre de ses utilisateurs et la qualit de ses

attributs. Rciproquement un IdP fait confiance aux SP quant la bonne utilisation des attributs

nominatifs. La formalisation de ces relations de confiance peut se faire de gr gr entre chaque paire

dIdP/SP. Cependant, il est naturel de vouloir formaliser la dfinition de ces relations de confiance pour

[B08] un ensemble de fournisseurs qui forment alors un cercle de confiance. Linscription un tel

cercle impose de respecter des rgles communes. Au sein dun cercle de confiance, des rgles existent

pour assurer la protection des donnes personnelles des utilisateurs qui peuvent tre communiques

entre fournisseurs.



16

Figure2.2 Fonctionnement dun cercle de confiance

2.4 Fonctionnement des fdrations d'identits

Les types dutilisateurs :

Les utilisateurs finaux sont les personnes qui vont effectivement se connecter des sites web

via une fdration d'identits. En gnral elles ne savent pas et ne voient pas que leur connexion

a lieu vers une fdration d'identits, c'est transparent pour elles

les fournisseurs d'identits sont les organismes auxquels sont rattachs les utilisateurs finaux.

Un fournisseur d'identits a pour rle d'authentifier ses utilisateurs quand ceux-ci accdent un

site web via la fdration d'identit.

les ressources sont les sites web auxquels peuvent accder les utilisateurs finaux via une

fdration d'identits. Il peut s'agir par exemple de sites d'enseignement distance, d'outils

collaboratifs en ligne, de portail de documentations numrises.

l'oprateur de la fdration est l'entit qui gre la fdration, a dfini ses rgles de

fonctionnement et prend en charge l'inscription des fournisseurs d'identits et des ressources

dans la fdration.

Droulement de l'accs une ressource dune fdration d'identits

l'utilisateur se rend avec son navigateur sur la page d'accueil d'une ressource

il est redirig vers une page ou il choisit son organisme de rattachement

l'utilisateur est automatiquement renvoy vers la page d'authentification classique de son

organisme sur laquelle il peut saisir son identifiant et mot de passe

si l'authentification russit, le logiciel fournisseur d'identits de l'organisme va automatiquement

rcuprer des informations sur l'utilisateur dans le ou les rfrentiels de l'organisme

l'utilisateur est renvoy sur la ressource o il est alors automatiquement authentifi et peut alors

l'utiliser.



17

lors de la redirection de l'utilisateur depuis le fournisseur d'identits vers la ressource, cette

dernire reoit de la part du fournisseur d'identits une preuve informatique d'authentification

de l'utilisateur et ventuellement des informations sur l'utilisateur.

Figure2.3 - schma rcapitulatif dune fdration didentit



18

Chapitre 3 : Systme dauthentification centralis

Dans ce chapitre, nous examinons en premier lieu le mcanisme du Single Sign-On (SSO), pour

centraliser l'authentification afin de permettre l'utilisateur d'accder toutes les ressources

auxquelles il est autoris d'accder, en sidentifiant une seule fois sur le rseau, ensuite faire une tude

gnrale sur les annuaires, et enfin terminer par une tude comparative des diffrentes technologies

pour lauthentification unique. Dans le projet l'objectif du SSO est de propager l'information

d'authentification aux diffrents services du rseau, et d'viter ainsi l'utilisateur la saisie de multiples

identifications par mot de passe.

3.1 Single Sign-On (SSO)

Les organisations actuelles possdent un rseau complexe compos de ressources diverses telles

que des applications internes, des applications web ou diffrents systmes dexploitations. Lutilisateur

se voit oblig de saisir chaque fois un identifiant et un mot de passe. Dans certains cas, on a plusieurs

applications diffrentes, toutes ayant une authentification propre. Une telle situation nest pas sans

crer des problmes: non seulement la saisie manuelle cote un temps prcieux, mais il est

extrmement difficile de se souvenir de plusieurs mots de passe. Ainsi, les utilisateurs utilisent toutes

sortes de mthodes, peu sres, pour faire face cette multiplication des identifiants. Le plus souvent, ils

notent leurs mots de passe sur un post-it, le glissent sous le clavier ou choisissent un mot de passe trs

simple. Par ailleurs, il est trs frquent que les utilisateurs appellent le support informatique cause

dun mot de passe oubli.

Les avantages de l'authentification unique sont :

La rduction de la fatigue de mot de passe : manque de souplesse lie l'utilisation de

diffrentes combinaisons de nom d'utilisateur et de mot de passe

La centralisation des systmes d'authentification

La centralisation des informations de contrles d'accs pour les tests de conformits aux

diffrentes normes



19

Les technologies fournissant des SSO utilisent des serveurs centraliss d'authentification que toutes les

autres applications et systmes utilisent pour l'authentification, combinant ceux-ci avec des techniques

logicielles pour s'assurer que les utilisateurs n'aient pas entrer leurs identifiants plus d'une fois

3.2 Mthode d'authentification SSO

Les services numriques accessibles par le web (intranet, courrier lectronique, forums,

agendas, applications spcifiques) disposition des tudiants, enseignants, personnels administratifs se

sont multiplis en quelques annes. Ces services ncessitent trs souvent une authentification.

L'utilisation de techniques de synchronisation entre domaines d'authentification htrognes, puis de

serveurs LDAP a permis la mise en uvre d'un compte unique (login / mot de passe) pour chaque

utilisateur, ce qui est un progrs. Toutefois on est contraint des problmes suivants :

L'authentification unique (ou identification unique ; en anglais Single Sign-On : SSO) est une

mthode permettant un utilisateur de ne procder qu' une seule authentification pour accder

plusieurs applications informatiques (ou sites web scuriss).

Luniversalit du protocole HTTP fait que les applications portes sur le web sont de plus en

plus nombreuses.

La mise en place dannuaires (LDAP par exemple) permettra aux utilisateurs de mmoriser

quun seul mot de passe, mais ils devront sauthentifier chaque fois quil accde une

application

Les mcanismes de SSO [B02] (authentification unique pour accder plusieurs applications)

tentent de rsoudre ces problmes en utilisant tous des techniques assez semblables, savoir :

une centralisation de lauthentification sur un serveur qui est le seul recueillir les mots de

passe des utilisateurs, travers un canal chiffr ;

des redirections HTTP transparentes du navigateur client, depuis les applications vers le serveur

dauthentification, puis du serveur vers les applications

le passage dinformations entre le serveur dauthentification et les applications laide de

cookies, et/ou de paramtres CGI de requtes HTTP (GET ou POST).



20

Figure 3.1 - Authentification SSO

3.3 Les diffrents types dauthentification unique

3.3.1 Approche fdrative

Dans ce mcanisme, dont le systme Liberty Alliance est le principal exemple, chaque service

gre une partie des donnes d'un utilisateur (l'utilisateur peut donc disposer de plusieurs comptes),

mais partage les informations dont il dispose sur l'utilisateur avec les services partenaires. Ce

mcanisme a t dvelopp pour rpondre un besoin de gestion dcentralise des utilisateurs, o

chaque service partenaire dsire conserver la matrise de sa propre politique de scurit.

3.3.2 Approche centralis

Le principe de base est ici de disposer d'une base de donnes globale et centralise de tous les

utilisateurs ou d'un annuaire. Cela permet galement de centraliser la gestion de la politique de scurit

3.3.3 Approche cooprative

Le mcanisme coopratif, dont les systmes Shibboleth et CAS sont les principaux

reprsentants, part du principe que chaque utilisateur dpend d'une des entits partenaires. Ainsi,

lorsqu'il cherche accder un service du rseau, l'utilisateur est authentifi par le partenaire dont il



21

dpend. Comme dans l'approche fdrative, cependant, chaque service du rseau gre indpendamment

sa propre politique de scurit.

3.4 Prsentation du CAS

Le Service central dauthentification (CAS) [B03] est un systme d'authentification unique

(SSO) pour le web dvelopp par l'Universit Yale . On s'authentifie sur un site Web, et on est alors

authentifi sur tous les sites Web qui utilisent le mme serveur CAS. Il vite de s'authentifier chaque

fois qu'on accde une application en mettant en place un systme de ticket.

3.5 Fonctionnement du CAS

1- Le client web tente une connexion vers une application web partir dune requte initiale en

http. Lapplication web redirige la requte vers une page dauthentification du serveur CAS. Le

client peut accder directement en https au CAS (1)

.

2- Le serveur CAS ralise lauthentification grce LDAP (login + mot de passe)

3- Le CAS gnre un ticket ST (Service Ticket) au client. Ce dernier envoie les paramtres de

connexion lapplication web et passe en paramtre le ticket ST.

4- Lapplication web accde directement au CAS en http ou en https et passe en paramtre lID de

service (lID de service est lURL du service).

5- Le CAS gnre un ticket TGC (Ticket Granting Cookies). Le CAS envoie le TGC lapplication

web. C'est un cookie de session qui est transmis par le serveur CAS au navigateur du client lors de

la phase de login.

6- Le CAS valide le ticket ST et retourne lUID de lutilisateur. En ce moment lutilisateur est

authentifi et peut maintenant accder la page



22

Formulaire CAS

Figure 3.2- Fonctionnement du CAS

3.6 Gnralits sur les annuaires lectroniques

Dans le cadre de la mise en place d'une fdration didentit, une grande quantit

dinformations relatives aux acteurs sont manipules. Ces informations doivent tre stockes dans une

base d'informations afin d'en assurer la cohrence, la scurit, laccessibilit et la centralisation.

Ainsi la base d'information tant beaucoup plus sollicite en lecture, nous avons porte notre choix

sur les annuaires LDAP qui sont rputs tre performants pour les accs en lecture.

Pour une homognit de la reprsentation des donnes dans un annuaire LDAP concernant

l'enseignement suprieur, une norme a t dfinie : c'est la norme Supann2009

3.6.1 Prsentation

Un annuaire lectronique peut tre vu comme une base de donnes spcialise, dont la fonction

premire est de retourner un ou plusieurs attributs d'un objet grce des fonctions de recherche

multicritres.



23

Les objets peuvent tre de nature trs diverse. Par exemple, un objet de lannuaire peut

reprsenter une personne et les attributs de cet objet seront alors son nom, son prnom, son numro de

tlphone, etc. Un annuaire lectronique va centraliser des informations et les rendre disponibles, via le

rseau, des applications, des systmes dexploitation ou des utilisateurs.

3.6.2 Diffrences entre annuaire et une Base de Donnes

Bien quun annuaire soit comparable une base de donnes pour un grand nombre de

fonctionnalits, il en diffre en de nombreux points.

Un annuaire est trs performant en consultation (cest--dire en lecture ou en recherche). Par

contre, un annuaire nest pas trs adapt pour des mises jour frquentes (criture). Les donnes

contenues dans un annuaire sont en effet beaucoup plus prennes, et il est donc totalement inutile

doptimiser les fonctions de mise jour.

Une base de donnes doit, par contre, gnralement supporter des applications qui la remettent

constamment jour. Cela signifie que la fonctionnalit criture dans une base de donnes est

importante et doit par consquent tre optimise.

Un annuaire LDAP organise les donnes de manire arborescente, tandis que les bases de

donnes le font au sein de tableaux deux dimensions.

3.6.3 Protocole LDAP

LDAP (Lightweight Directory Access Protocol, ou Protocole d'accs aux annuaires lger) est un

protocole standard permettant de grer des annuaires, c'est--dire d'accder des bases d'informations

sur les utilisateurs dun rseau par lintermdiaire du protocole TCP/IP.

Les bases d'informations sont gnralement relatives des utilisateurs, mais elles sont parfois utilises

dautres fins comme pour grer du matriel dans une entreprise. Il est normalis par lIETF (Internet

Engineering Task Force) dans sa version 3 en 1997, LDAP est un protocole client-serveur et offre

quatre modles prdfinis. Lobjectif de cette modlisation est de favoriser le partage et de simplifier la

gestion des informations concernant des personnes, et plus gnralement toutes les ressources de

lentreprise, ainsi que des droits daccs des utilisateurs sur ces ressources.



24

Les modles LDAP :

Modle dinformation : Il dfinit la nature des donnes stockes dans lannuaire. Celles-ci sont

constitues dun ensemble denregistrements dans lequel chaque enregistrement est linstance

dune classe dobjet comportant une srie dattributs. Chaque attribut est dfini par un type

(entier, chaine de caractre etc.) et contient un ou plusieurs valeurs, qui peuvent tre obligatoire

ou non.

Modle de dsignation : Il dfinit la faon dorganiser et de designer les entres dans

lannuaire. Les donnes sont classes de faon hirarchique dans un arbre, refltant en gnral

lorganisation de lentreprise. Le nom dune entre contient le nom des diffrents nuds de

larbre puis lidentifiant de celle-ci.

Modle des services : Il dcrit les fonctions offertes par un annuaire LDAP. Ces fonctions

comprennent la recherche et la consultation des entres de lannuaire, la mise a jour de celui-ci,

et lauthentification des utilisateurs auprs de ces services.

Modle de scurit : Il dfinit la manire de sidentifier de faon scurise un annuaire

LDAP et le concept des droits daccs aux diffrents objets de lannuaire. La gestion de la

scurit est pointue car elle permet de dfinir des droits daccs non seulement au niveau dun

objet, mais aussi au niveau dun attribut de cet objet.

3.6.4 Les classes d'objets

La classe dobjet dun annuaire LDAP permet de spcifier les attributs possibles pour une entre

reprsentant un objet particulier du monde rel. Cette liste d'attributs est subdivise en deux parties :

la premire liste dfinit quels sont les attributs obligatoires que doit possder une entre,

la seconde liste dfinit les attributs optionnels que peut possder cette entre.

En effet, les classes d'objet dun annuaire LDAP sont dfinies par plusieurs caractristiques. En

premier lieu, une classe d'objet possde au moins un nom de faon l'identifier facilement.

En second lieu, indiquer si la classe est structurelle ou auxiliaire. Les classes structurelles sont les

seules qui permettent de construire des entres. Ce qui signifie que toute entre doit possder au moins



25

une classe structurelle. Les classes auxiliaires permettent de rajouter facilement un certain nombre

d'attributs une entre existante.

Les classes d'objets ont une autre particularit trs intressante. On peut construire de nouvelles

classes partir de classes existantes. Autrement dit, la notion d'hritage existe galement pour les

classes d'objets.

3.6.5 Les schmas

Les annuaires permettent de stocker et de grer des identits, on y trouve des objets

reprsentants des personnes et des attributs permettant didentifier et de dfinir la personne comme le

nom, prnom, tlphone

Lensemble des types dobjets possible dans lannuaire, et pour chaque objet lensemble des

attributs utilisables est dfini dans lannuaire. Le schma contient la syntaxe et la liste des attributs

connus de l'annuaire.

Extension de schma

Parfois il arrive quon veuille stocker dans lannuaire des informations de nature particulires pour

les besoins propres ses applications. Si le schma dorigine ne le permet pas, on peut raliser une

extension de schma. Lextension de schma [B06] consiste dfinir pour un annuaire de nouveaux

types dobjets, ou de nouveaux attributs pour un type dobjet existant.

Attributs LDAP

Un attribut est une valeur contenue dans une entre. Une entre peut contenir plusieurs attributs.

Format dchange de donnes LDIF

LDIF (LDAP Data Interchange Format ou Format dchange des donnes LDAP) permet

lexportation ou limportation des donnes depuis ou vers un annuaire LDAP. Il dcrit le format de

fichier de texte qui contient tout ou partie des donnes dun annuaire.

3.6.6 La norme Supann

SUPANN [B05] est un groupe de travail ayant pour mission d'laborer des recommandations

annuaires compatibles avec les prconisations existantes au niveau interministriel ainsi qu'au niveau



26

international (IETF et Internet2) et satisfaisant les spcificits relatives aux tablissements

d'enseignement suprieur.

Supann a rdig des recommandations en matire d'annuaires d'tablissements compatibles sur

le plan national, au standard LDAP. Ces recommandations s'adressent l'ensemble des tablissements

d'enseignement suprieur et s'inscrivent dans le cadre du schma directeur des environnements de

travail. Disposer d'un annuaire national de l'enseignement suprieur, permettre la mutualisation des

ressources entre les tablissements ou accder des ressources externes, offrir aux applications de

l'enseignement suprieur une structure d'annuaire standardise.

3.6.7 Les objectifs de la norme Supann

Les principaux objectifs de la norme Supann sont :

proposer aux tablissements un cadre adquat pour la mise en uvre de leur base

dinformations en respectant les spcifications d'un noyau LDAP.

favoriser la portabilit des logiciels utiliss par les tablissements denseignement suprieur, en

homognisant les schmas d'annuaires.

converger vers des comptences internes similaires en matire d'annuaire

Faciliter lchange dinformations entre les diffrents tablissements

Permettre un contrle daccs des ressources distantes, bases sur le profil de lutilisateur issu

de lannuaire de son tablissement de rattachement.

3.6.8 Prsentation des schmas

Pour la mise en place d'un annuaire LDAP digne de ce nom, il faut inclure le schma Supann.

Ce dernier comporte un ensemble de classes et d'attributs pour la reprsentation des informations

relatives l'enseignement suprieur. Par contre toutes les informations ne sont pas prise en compte par

le schma Supann, do la ncessite dinclure d'autres schmas tels Internet2, Schac afin d'avoir une

reprsentation optimale.

Schma Internet 2

Internet2 est conus pour inclure des personnes largement utilis et les caractristiques

organisationnelles de l'enseignement suprieur.



27

Le problme majeur dInternet2 est quil n'existe pas de modles tablis pour la construction de

rpertoires institutionnels usage gnral. Chaque institution doit commencer partir de zro, et il n'ya

pas deux rpertoires d'enseignement suprieur qui se ressemblent.

La classe d'objet eduPerson donnerait une liste d'attributs communs et des dfinitions. Le

groupe de travail prvoit de s'appuyer sur les travaux des normes en vigueur dans l'enseignement

suprieur, slectionnez les lments qui sont d'une grande utilit, et dfinir une reprsentation LDAP

commun pour chacun d'eux. L'usage du schma Internet2 nous permet d'avoir lattribut statut des

acteurs de notre annuaire

Prsentation du schma Schac

SCHAC est une collection de schmas qui vise dfinir et promouvoir des schmas communs

dans le domaine de l'enseignement suprieur pour faciliter l'change de donnes entre organisations, il

dfinit un ensemble d'attributs pour dcrire les individus dans les institutions universitaires et de

recherche et contient un profil LDAP appropri . L'usage du schma Schac nous permets d'avoir les

attributs suivants :

Tableau 1.3-Attributs schac pour lannuaire LDAP

Attributs Attributs correspondant

Date de Naissance shacDateOfBirth

Pays d'origine schacCountryOfCitizenship

Lieu de naissance schacPlaceOfBirth

Pays de rsidence schacCountryOfResidence

3.7 Structure du DIT (Directory Information Tree)

La racine de l'arborescence est nomme par le nom DNS de l'tablissement conformment aux

recommandations prconises par l'IETF (utilisation des Domain Component - RFC 2377). Ceci permet

d'adresser de manire fiable les informations de tout tablissement puisque l'unicit d'un domaine est

assure au sein d'Internet.

Exemple : pour l'UVS, nous aurons "dc=uvs, dc=sn"

Trois Organizational Unit sont dcrites par Supann :



28

la premire appele people dsigne le conteneur de l'ensemble des informations concernant

les personnes prsentes dans l'tablissement. Il s'agit d'informations dcrites l'aide des classes

InetOrgPerson, eduPerson, supannPerson ;

la seconde appele groups dsigne le conteneur des informations concernant la mise en

cohorte d'individus. Ces informations sont dcrites l'aide des classes GroupOfNames et

supannGroupe.

la troisime appele structures est le conteneur des structures matrielles (services, etc.) et

des structures immatrielles (instances lectives, modules d'enseignement, etc.). Ces

informations sont dcrites par les classes OrganizationalUnit et SupannEntite.

Pour implmenter lannuaire on a nomm notre racine dc=uvs, dc=sn.

Nous avons aussi cr une branche people pour les divers acteurs. Quant aux dpartements et filires

ils ont t intgrs dans des structures organisationnelles. Il faut noter que nous avons fait une

distinction significative entre les dpartements et filires. En effet, les filires sont relies une branche

filire et les dpartements placs dans la branche direction gnrale DG).

Figure3.3-Structure du DIT

3.7.1 Scurit LDAP

La mise en place dun annuaire d'entreprise, ncessite une rflexion au modle de scurit

appliquer. LDAP fournit plusieurs mcanismes permettant de scuriser les donnes



29

L'authentification simple, le binding

L'annuaire met en place un mcanisme d'authentification pour avoir accs aux donnes qu'il

contient. L'une des oprations pralables l'interrogation de l'annuaire est cette opration dite de

"binding" (dans le cas d'une authentification simple). Le client envoie alors le DN d'un compte

contenu dans l'annuaire lui-mme, ainsi que le mot de passe associ. On pourra par la suite appliquer

des droits particuliers sur ce compte en utilisant les ACLs.

Les ACL

Les ACLs (Access Control Lists) interviennent aprs la notion de binding. Il sera possible de

donner des droits de lecture, d'criture (ou d'autres droits divers) sur des branches particulires de

l'annuaire au compte connect. Ceci permet de grer finement les droits d'accs aux donnes.

Le chiffrement des communications (SSL/TLS)

Le chiffrement des communications, via SSL (Secure Socket Layer, ou TLS - Transport Layer

Security) est galement une mthode de protection de l'information. Il est possible, avec la plupart des

annuaires existants, de chiffrer le canal de communication entre l'application cliente et l'annuaire. Ceci

permet de garantir (un minimum) la confidentialit des donnes et d'viter qu'un tiers n'coute les

communications sur le rseau.

La rplication

OpenLDAP, permet de manire native, de mettre en place un annuaire rpliqu. Un annuaire dit

matre envoie alors, par le biais du format LDIF, toutes les modifications effectues sur un annuaire

esclave.

L'avantage d'une telle opration est double :

permettre une meilleure monte en charge pour de gros annuaires : il est possible de rediriger le

client vers l'un ou l'autre des annuaires rpliqus

disposer d'une copie conforme du premier annuaire, utile en cas de panne

Deux types de rplication existent :

le mode "matre-esclave", le plus courant : la rplication est unidirectionnelle, un annuaire

matre envoie toutes les modifications un annuaire esclave. Ceci n'autorise bien videmment

l'criture que sur l'annuaire matre ; l'esclave est alors disponible uniquement en lecture.



30

le mode "matre-matre" : la rplication est bidirectionnelle, chaque annuaire peut tre matre

de l'autre. Ceci permet d'crire indiffremment sur l'un ou l'autre des annuaires.

Figure 3.4- Architecture des annuaires maitre esclaves

La distribution (les referrals)

La distribution est un mcanisme qui va permettre de faire pointer un lien vers un autre annuaire

pour une branche particulire. Ceci va permettre de dlguer la gestion de cette branche, un peu au sens

DNS lorsqu'on dlgue la gestion d'un domaine.

Fonctionnement des referrals

Lannuaire 1 possde un referral pour la branche ou=groups. Ce referral [B07] pointe vers lannuaire2

La gestion de cette branche est donc en quelques sortes "dlgue" l'annuaire2.

Au niveau de lannuaire 1, ceci se traduit par une entre de la classe "referral", qui contient alors un

attribut "ref" contenant ladresse de suite de larborescence.



31

dc=uvs,dc=sn

Ou=people, dc=uvs, dc=sn ou=groups, dc=uvs, dc=sn

uid=papis.niang,ou=people, dc=uvs,dc=sn

uid=amoussa.achiraf,ou=people,dc=uvs,dc=sn

Annuaire 1: ldap1.uvs.sn Referral

cn=tudiants, ou=groups, dc=uvs, dc=sn

cn=Enseignants, ou=groups, dc=uvs, dc=sn

Annuaire 2: ldap2.uvs.sn

Figure 3.5-Architecture Fonctionnelle dun annuaire en referral

3.8 Les solutions techniques

Diffrentes solutions dauthentification et de contrle daccs aux applications ont t

dveloppes, apportant des satisfactions dans certains cas, mais prsentant nanmoins certains dfauts.

Pour palier ces difficults la dlgation dauthentification a t prconise.

En effet, la phase dauthentification avant laccs une application sera assur par les services

dauthentification de ltablissement de rattachement de lutilisateur. Ce service enverra une assertion

lapplication indiquant si lutilisateur sest bien authentifi. Par contre, le contrle daccs est toujours

effectu au niveau de lapplication.

Ou=groups, dc=uvs, dc=sn



32

3.8.1 Les solutions propritaires

CA SiteMinder Federation Security Services et CA SOA Security Manager

HP OpenView Select Federation

IBM Tivoli Federated Identity Manager

Microsoft Active Directory Federation Services

Ping Identity PingFederate et Ping Identity Ping Trusts

RSA Federated Identity Manager

3.8.2 La solution libre : Shibboleth

Shibboleth [W02] est dvelopp depuis 2001 par Internet2 et dsigne la fois une norme et un

produit, il repose sur un mcanisme de propagation d'identits. Son objectif est double :

d'une part il permet, lors de la connexion un service enregistr dans la fdration, de dlguer

l'authentification l'tablissement d'origine de l'utilisateur.

d'autre part il contribue obtenir certains attributs (donnes annuaire) de l'utilisateur, afin de

grer le contrle d'accs ou personnaliser les contenus.

Shibboleth s'appuie en gnral sur un systme CAS et offre donc galement les fonctionnalits de

SSO standards (fentre d'authentification unique, plus besoin de retaper son mot de passe lorsque

l'utilisateur passe d'un service l'autre).



33

Tableau 3.1. Comparaison des produits de fdration d'identit

CA SiteMinder FSS CA SOA

SecurityManager

HP OpenView Select

Federation

Facilit de dploiement

et de configuration

Moyen

Moyen

Moyen

Conformit aux

langages dchange de

linformation de

scurit

SAML 2.0 et

WS-Federation

SAML 2.0 et

WS-Federation

SAML 2.0 et

WS-Federation

Possibilit de fdrer

des identits entre des

Web Services

Non

Oui

Oui

Cot 21000 + 4000 pour

maintenance annuelle

100000 (licence pour

4cpu) + 2000 pour

Maintenance annuelle

18500 pour une

connexion

Support pour diffrents

Systmes et technologies

dauthentification

mots de passe, jetons,

certificatsX.509,

techniques biomtrique


certificatsX.509,

techniques

biomtriques


cartes puce, certificats

didentit X.509,

Niveau de scurit offert -clustering, haute

disponibilit

- load balancing,

-Cluster, haute

disponibilit

Respect de la vie prive Protge Protge Protge



34

IBM Tivoli FIM Microsoft

ADFS

Ping Identity

PingFederate

Facilit de dploiement

et de configuration

Difficile Moyen Facile

Approche adopte pour

grer la fdration

Intgre Tivoli

Access Manager

Intgre

Windows Server

2003

Autonome

Conformit aux langages

dchanges de

linformation de scurit

SAML 2.0 et

WS-Federation

WS-Federation SAML 2.0 et

WS-Federation

Possibilit de fdrer


Web Services

Oui Oui Non

Cot 8200 pour une

licence en plus de

licences pour les

logiciels requis

3000 + prix de

licences annuelles

8000 pour 1

connexion par an


systmes et

technologies

dauthentification

Les mcanismes

supports par Tivoli

Access Manager

(cartes puce,

technique biomtriques,

Kerberos, etc.)

Microsoft Active

Directory (Krberos,

cartes puce et

certificats didentit

X.509) et LDAP

Mots de passe, cartes

puce, techniques

biomtriques, clsUSB,

certificats X.509,

Niveau de scurit

offert

-cluster pour

une haute

performance et

disponibilit

- Possibilit de

dploiement de serveurs

de fdration

additionnels pour

load balancing et

volutivit

-cluster pour une

haute disponibilit et

rcupration




35

Ping Identity

PingTrust

RSA Federated

Identity ManagerRSA

Federated Identity

Manager

Internet2

Shibboleth

Facilitde dploiement

et de configuration

Facile Moyen Moyen

Approche adopte pour

grer la fdration

Autonome Autonome Intgr un WAM

Conformit aux

languages dchange de

linformation de

scurit

SAML 2.0 et

WS-Federation

SAML 2.0 SAML 2.0 et

WS-Federation

Possibilit de fdrer


Web Services

Oui Oui Non

Cot 8000 pour 1

connexion par an

37000 pour

3 connexions

74000 pour

10 connexions

Logiciel libre


systmes et

technologies

dauthentification

mots de passe, cartes

puce, techniques

biomtriques, cls

USB, certificats X.509,

Authentification

2 facteurs bass

sur RSA

Active Directory,

LDAP, Kerberos

Niveau de scurit

offert

-cluster, haute

disponibilit

-cluster, haute

disponibilit

-haute disponibilit

- load balancing




36

3.9 Le choix de Shibboleth

De cette tude, il ressort que les produits de fdration tudis prsentent un fort potentiel en termes

dinteroprabilit, de niveau de scurit offert, de support de standards dchange dinformation de

scurit, etc. Cependant, tous ces produits bien quefficaces en termes de gestion didentit, prsentent

des insuffisances en termes de gestion daccs.

Aprs ltude des diffrentes solutions, nous avons port notre choix sur Shibboleth pour plusieurs

raisons :

Les fonctionnalits offertes par Shibboleth sont moins tendues, mais correspondent aux

principaux cas dusages de notre communaut. Surtout la topologie dune fdration de type

Shibboleth correspond bien la s

Memoire Shibboleth

Documents