Démonstration

Utilisateurs de test

4 populations de test sont définies :

  • Personnel : membre du personnel d'une entreprise
  • Externe : personne extérieure à l'entreprise, travaillant cependant pour celle-ci (prestataire)
  • Usager : personne externe, sans relation professionnelle avec l'entreprise
  • Professionnel : personne d'une autre entreprise partenaire
Et 2 rôles :
  • Administrateur : autorisé à accéder aux pages d'administration des différents composants de FederID
  • Utilisateur : autorisé par les règles du SSO à accéder à l'application de test
Les comptes de test sont les suivants :

IdentifiantMot de passePopulationRôle
abart@interldap.orgabartUsagerUtilisateur
cdenis@interldap.orgcdenisExterneAucun
efranck@interldap.orgefranckPersonnelUtilisateur
professionnel@interldap.orgprofessionnelProfessionnelAucun
coudot@interldap.org PersonnelUtilisateur, Administrateur

Tous ces comptes correspondent à des entrées d'un annuaire LDAP utilisé par les différents composants de FederID.

Utilisation simple du WebSSO - sans fédération

Présentation

Un utilisateur veut accéder à une application protégée par le WebSSO LemonLDAP::NG. Il est alors redirigé sur le portail WebSSO qui lui propose deux alternatives :

  • Se connecter localement sur le portail WebSSO
  • Utiliser la fédération des identités en s'authentifiant sur le fournisseur d'identités Authentic
L'utilisateur ne souhaite pas entrer dans le cercle de confiance pour l'instant et choisit de s'authentifier localement. Il est alors dirigé vers l'application.

Testez-le !

L'application protégée est http://simplewebapp.demo.interldap.org/.

Une fois redirigé sur le portail (http://lemonldapng.demo.interldap.org/), utilisez un compte de test pour vous authentifier. Vous devez arriver sur l'application de test, affichant simplement les en-têtes HTTP.

La session SSO étant créée, vous pouvez naviguer sur d'autres applications protégées, comme http://otherwebapp.demo.interldap.org/, sans besoin de se réauthentifier.

Utilisez ensuite le bouton Logout pour vous déconnecter. Vous êtes redirigé sur le portail.

Connexion à un fournisseur d'identités

Présentation

L'utilisateur se connecte à son fournisseur d'identités pour ouvrir sa session sur le cercle de confiance. Il voit les différents fournisseurs de services auxquels il peut accéder.

Testez-le !

Connectez-vous sur http://authentic.demo.interldap.org/ et utilisez un compte de test pour vous authentifier.

Vous devez alors voir l'ensemble des fournisseurs de services, ainsi qu'un lien Fédération listant les fédérations actives.

Utilisation du WebSSO comme fournisseur de service Liberty Alliance

Présentation

Un utilisateur veut accéder à une application protégée par le WebSSO LemonLDAP::NG. Il est alors redirigé sur le portail WebSSO qui lui propose deux alternatives :

  • Se connecter localement sur le portail WebSSO
  • Utiliser la fédération des identités en s'authentifiant sur le fournisseur d'identités Authentic
L'utilisateur souhaite utiliser le cercle de confiance Liberty Alliance, et sélectionne son fournisseur d'identités. S'il est déjà authentifié dans le cercle de confiance, il accède directement à l'application protégée, sinon il s'authentifie sur le fournisseur d'identités et accède ensuite de manière transparente à l'application protégée.

Testez-le !

L'application protégée est http://simplewebapp.demo.interldap.org/.

Une fois redirigé sur le portail (http://lemonldapng.demo.interldap.org/), choisissez le fournisseur d'identités Authentic et validez. Si vous étiez déjà authentifié sur le cercle de confiance, vous accédez directement à l'application de test, sinon utilisez un compte de test et valide. Vous accédez alors également à l'application de test.

Connexion à un fournisseur de service Liberty Alliance avec fédération automatique

Présentation

Certains fournisseurs de services n'ont pas besoin d'un compte local, spécifique à leur application, pour fonctionner. C'est le cas par exemple du WebSSO LemonLDAP::NG dont la base de comptes est directement l'annuaire LDAP, ou de Unwind, application de démonstration de LASSO, qui utilise directement le compte principal de l'utilisateur au sein du cercle de confiance.

Unwind est une application très simple permettant de lire des attributs partagés sur un cercle de confiance. Cette manipulation sera présentée plus loin, elle n'est pas nécessaire à la démonstration ce ce point.

Testez-le !

Connectez-vous au fournisseur de service Unwind http://unwind.demo.interldap.org/.

Cliquez sur "S'identifier". Si votre session Liberty Alliance est déjà ouverte, vous entrez directement sur l'application, sinon vous être d'abord redirigé sur le fournisseur d'identités.

Si vous cliquez sur "Se déconnecter", votre session Liberty Alliance sera fermée.

Gestion des données de l'annuaire

Présentation

L'ensemble des informations des utilisateurs sont dans l'annuaire LDAP de référence. Il est nécessaire d'avoir un bon outil d'administration afin de faciliter la gestion des identités au sein du cercle de confiance. Au sein de FederID, c'est InterLDAP-WUI qui assure cette fonction.

Tout utilisateur peut s'y connecter, et en fonction de ses droits, accède à différentes fonctionnalités (modification du mot de passe, recherche, etc.). Toute action est soumise au framework d'autorisation d'InterLDAP qui gère les droits de création/modification/suppression/recherche sur les entrées. La présentation des informations est également gérée dans par un framework de schéma enrichi, éditable directement (par les administrateurs) depuis l'interface !

Testez-le !

Connectez-vous sur l'outil de gestion de contenu InterLDAP-WUI http://wui.demo.interldap.org/.

Identifiez-vous avec un des comptes de test. vous constaterez des différences en fonction de votre catégorie de population.

Partage des données de l'annuaire sur le cercle de confiance

Démonstration momentanément inaccessible

Présentation

Certains fournisseurs de service Liberty Alliance savent récupérer des informations que l'utilisateur a partagées sur le cercle de confiance. Ces fournisseurs n'ont pas connaissance de la provenance de ces informations, ils échangent simplement des requêtes avec un fournisseur d'attributs Liberty Alliance.

Au sein de FederID, Le module InterLDAP-LAAP est un fournisseur d'attributs Liberty Alliance qui utilise les attributs de l'utilisateur stockés dans l'annuaire LDAP. Ainsi lorsque l'utilisateur met à jour ses informations dans le référentiel, elles sont automatiquement diffusées (si l'utilisateur a préalablement accepté le partage de ses informations) aux fournisseurs de service Liberty Alliance.

C'est un mécanisme de "provisionning" géré directement par l'utilisateur.

Testez-le !

Connectez-vous au fournisseur d'attributs InterLDAP-LAAP : http://laap.demo.interldap.org/.

Une fois connecté, choisissez l'authentification Liberty Alliance (Single log in). Sur le fournisseur d'identités, utilisez un des comptes de la population Personnel pour vous connecter (par exemple efranck@interldap.org). Si vous étiez déjà connecté sous une autre identité, rendez-vous sur Authentic http://authentic.demo.interldap.org/ et déconnectez-vous.

Vous êtes redirigé sur InterLDAP-LAAP. Si votre compte est déjà fédéré, passez au point suivant. Sinon, authentifiez-vous sur interLDAP-LAAP avec le même compte utilisateur (par exemple efranck@interldap.org) Votre compte est alors fédéré (vous pouvez le vérifier sur Authentic, dans l'onglet Fédérations).

Vous pouvez à présent choisir de partager vos informations. Rendez-vous ensuite sur Unwind http://unwind.demo.interldap.org/, vous pouvez alors lire vos informations ! Si dans InterLDAP-LAAP, vous n'autorisez plus la partage, alors Unwind ne pourra plus les lire.

Enfin, vous pouvez utiliser InterLDAP-WUI http://wui.demo.interldap.org/ pour modifier vos informations, puis InterLDAP-LAAP pour les partager, et enfin Unwind pour les lire.