Shibboleth
Shibboleth est une suite de logiciels développée à l'origine par le consortium Internet2 et sous la responsabilité du consortium Shibboleth à présent. Cette suite fournit une solution complète de fédération d’identités. Le principe de la fédération d’identités est de déléguer l’authentification web des utilisateurs à un service d’authentification dans l’organisme d’origine de l’utilisateur. Le protocole utilisé est SAML 2, utilisé également par d’autres solutions logicielles de ce type.
Les trois briques Shibboleth sont le fournisseur de services, le fournisseur d’identités et le service de découverte (ou DS/WAYF).
Le fournisseur de services est un module d'authentification pour le serveur Web ; il permet de :
- déléguer l'authentification des utilisateurs à un fournisseur d'identités ;
- transmettre le profil utilisateur ;
- gérer le contrôle d'accès de manière optionnelle.
Le fournisseur d'identités est une application Java (servlet) ; il permet de gérer l'authentification des utilisateurs, en réponse à la requête d'un fournisseur de services. L'authentification peut être déléguée à un serveur SSO-CAS (Central Authentication Service) : l'authentification se fait par login/mot de passe ou certificat électronique ou encore propose les deux ; les attributs de l'utilisateur sont extraits d'un annuaire (AD ou LDAP), d'une base SQL ou bien calculés, puis propagés au fournisseur de services.
Le service de découverte (DS) permet à un utilisateur de sélectionner son organisme de rattachement, c'est-à-dire celui auprès duquel il pourra s'authentifier. Le service de découverte propose un menu déroulant à l'utilisateur avec la liste des fournisseurs d'identités reconnus.
La version 2.x de Shibboleth implémente le protocole SAML 2 qui est supporté par la majorité des solutions de fédération d'identités.
La brique fournisseur de services est utilisée par des établissements d'enseignement/recherche ou bien par des éditeurs commerciaux. Les types de ressources proposées sont entre autres : accès à la documentation électronique, contrôle d'accès pour un extranet, accès wi-fi, distribution de logiciels, applications métier mutualisées.
La brique fournisseur d'identités est utilisée par les établissements d'enseignement supérieur/recherche, à raison d'une instance unique par établissement. Le service d'authentification est utilisé dès qu'un utilisateur accède à une ressource utilisant la fédération d'identités.
L'auteur a participé activement au déploiement de la fédération d'identités Éducation-Recherche en France.
La mise en œuvre du logiciel Shibboleth nécessite un certain niveau d'expertise. C'est pourquoi le GIP RENATER propose des formations et met à disposition ses supports de formation :
- documentation pour un fournisseur d'identités : https://services.renater.fr/federation/docs/instal...
- documentation pour un fournisseur de services : https://services.renater.fr/federation/docs/instal...