Shibboleth

Fiche logiciel validé
  • Création ou MAJ importante : 01/08/13
  • Correction mineure : 01/08/13
  • Rédacteur de la fiche : Mehdi Hached - RENATER (Ministère de l'enseignement supérieur)
  • Relecteur(s) : Christian Helft (LAL)
    Alice de Bignicourt (UREC)
  • Contributions importantes : Olivier Salaün (CRU puis RENATER) a été le contributeur initial de cette fiche, reprise par Mehdi Hached.
  • Responsable thématique : François Morris (CNRS - Délégation Paris Michel-Ange puis DSI)
Mots-clés

Shibboleth : fédération d’identités

Description
Fonctionnalités générales

Shibboleth est une suite de logiciels développée à l'origine par le consortium Internet2 et sous la responsabilité du consortium Shibboleth à présent. Cette suite fournit une solution complète de fédération d’identités. Le principe de la fédération d’identités est de déléguer l’authentification web des utilisateurs à un service d’authentification dans l’organisme d’origine de l’utilisateur. Le protocole utilisé est SAML 2, utilisé également par d’autres solutions logicielles de ce type.

Les trois briques Shibboleth sont le fournisseur de services, le fournisseur d’identités et le service de découverte (ou DS/WAYF).

Le fournisseur de services est un module d'authentification pour le serveur Web ; il permet de :

  1. déléguer l'authentification des utilisateurs à un fournisseur d'identités ;
  2. transmettre le profil utilisateur ;
  3. gérer le contrôle d'accès de manière optionnelle.

Le fournisseur d'identités est une application Java (servlet) ; il permet de gérer l'authentification des utilisateurs, en réponse à la requête d'un fournisseur de services. L'authentification peut être déléguée à un serveur SSO-CAS (Central Authentication Service) : l'authentification se fait par login/mot de passe ou certificat électronique ou encore propose les deux ; les attributs de l'utilisateur sont extraits d'un annuaire (AD ou LDAP), d'une base SQL ou bien calculés, puis propagés au fournisseur de services.

Le service de découverte (DS) permet à un utilisateur de sélectionner son organisme de rattachement, c'est-à-dire celui auprès duquel il pourra s'authentifier. Le service de découverte propose un menu déroulant à l'utilisateur avec la liste des fournisseurs d'identités reconnus.

Interopérabilité

La version 2.x de Shibboleth implémente le protocole SAML 2 qui est supporté par la majorité des solutions de fédération d'identités.

Contexte d'utilisation dans mon laboratoire/service

La brique fournisseur de services est utilisée par des établissements d'enseignement/recherche ou bien par des éditeurs commerciaux. Les types de ressources proposées sont entre autres : accès à la documentation électronique, contrôle d'accès pour un extranet, accès wi-fi, distribution de logiciels, applications métier mutualisées.

La brique fournisseur d'identités est utilisée par les établissements d'enseignement supérieur/recherche, à raison d'une instance unique par établissement. Le service d'authentification est utilisé dès qu'un utilisateur accède à une ressource utilisant la fédération d'identités.

L'auteur a participé activement au déploiement de la fédération d'identités Éducation-Recherche en France.

Limitations, difficultés, fonctionnalités importantes non couvertes

La mise en œuvre du logiciel Shibboleth nécessite un certain niveau d'expertise. C'est pourquoi le GIP RENATER propose des formations et met à disposition ses supports de formation :

Environnement du logiciel
Distributions dans lesquelles ce logiciel est intégré

Aucune à ma connaissance.

Plates-formes

Apache et IIS pour le fournisseur de services.
Serveur d'application Java (type Tomcat) pour le fournisseur d'identités et le service de découverte.

Logiciels connexes
Autres logiciels aux fonctionnalités équivalentes
Environnement de développement
Type de structure associée au développement

Consortium Shibboleth : http://shibboleth.net

Eléments de pérennité
Références d'utilisateurs institutionnels

Les fournisseurs d'identités de la fédération Éducation-Recherche : https://services.renater.fr/federation/participant...

Environnement utilisateur
Liste de diffusion ou de discussion, support et forums
Documentation utilisateur
Contributions