Central Authentication Service


Central Authentication Service

Le Central Authentication Service (CAS) est un système d'authentification unique (SSO) pour le web développé par l'Université Yale, partenaire majeur dans le développement de uPortal. Ce logiciel est implanté dans plusieurs universités et organismes dans le monde.

Sommaire

Intérêt

CAS est un système d'authentification unique : on s'authentifie sur un site Web, et on est alors authentifié sur tous les sites Web qui utilisent le même serveur CAS. Il évite de s'authentifier à chaque fois qu'on accède à une application en mettant en place un système de ticket.

Principe de fonctionnement

CAS est essentiellement un protocole basé sur des requêtes HTTP pures. Certains messages sont cependant formatés en XML.

Ce protocole est basé sur une notion d'échange de tickets, un peu à la manière de Kerberos. Ces tickets sont des « opaque handles » : ils ne transportent aucune information.

Il y a 2 tickets nécessaires au fonctionnement de base, plus 2 autres tickets dans le cas d'utilisation de proxy CAS :

  • Ticket-Granting Cookie (TGC)
  • Service Ticket (ST)
  • Proxy-Granting-Ticket (PGT)
  • Proxy-Ticket (PT)

Ticket-Granting Cookie (TGC)

C'est un cookie de session qui est transmis par le serveur CAS au navigateur du client lors de la phase de login. Ce cookie ne peut être lu / écrit que par le serveur CAS, sur canal sécurisé (HTTPS).

Si le navigateur web n'accepte pas les cookies, l'utilisateur devra se ré-authentifier à chaque appel au serveur CAS.

Service Ticket (ST)

Ce ticket va servir à authentifier une personne pour une application web donnée. Il est envoyé par le serveur CAS après que l'utilisateur se soit authentifié, et est transporté dans l'URL.

Ce ticket ne peut être utilisé qu'une seule fois. Il y a ensuite dialogue direct entre l'application web et le CAS via un GET HTTP, avec le ST en paramètre. En réponse, le serveur CAS retourne l'identifiant de la personne, et donc l'authentifie. Il invalide également le ticket (libération des ressources associées).

En fait, ce ticket concerne une personne, pour un service, et utilisable une seule fois.

Proxy-Granting-Ticket (PGT)

Il est envoyé par le serveur CAS à une application web proxy CAS disposant d'un ST valide. Ce ticket confère au proxy CAS la possibilité de demander au serveur CAS de générer un Proxy Ticket (PT) pour une application tierce et une personne donnée.

Proxy-Ticket (PT)

Il est généré par le serveur CAS à la demande d'un proxy CAS. Il permet d'authentifier l'utilisateur pour un service distant, avec lequel le client web n'a pas d'accès direct. Le service distant l'utilisera comme le ST.

Il est possible d'utiliser des proxies CAS en cascade.

Dans le fonctionnement de CAS, le service ayant besoin de l'authentification est en relation directe avec le serveur CAS lors de la validation du ticket. Ceci rend possible l'utilisation de ce mécanisme pour transporter des informations complémentaires (autorisations, attributs, ...).

Le paquet fourni propose le nécessaire pour mettre en œuvre le protocole CAS ; à charge de l'implémenteur de développer le module d'authentification interne. Un module d'authentification LDAP a été récupéré pour les essais ; il est à améliorer.

Le portage de CAS vers uPortal se fait facilement (les bibliothèques sont fournies). Dans ce cas, uPortal devient proxy CAS ; il obtient donc un PGT du serveur CAS. Il est donc possible à un canal qui utiliserait un service tiers sachant authentifier CAS de demander un PT pour ce service; des essais fructueux ont été fait dans ce sens.

Bibliothèques logicielles

Différentes bibliothèques logicielles sont fournies par le projet CAS, pour les langages JSP, Java, ASP, Perl, PL/SQL. D'autres projets ont développé des bibliothèques pour d'autres langages : PHP, .NET, ColdFusion, Perl, Ruby on Rails, etc[1].

Il existe en outre un module Apache, mod_cas[2], et un module PAM, pam_cas[3].

Aussi une intégration Shibboleth est planifiée.[réf. nécessaire]

Notes et références

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Central Authentication Service de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • Central Authentication Service — (CAS) ist ein föderiertes Identitätsmanagement, welches ursprünglich von der Yale Universität entwickelt wurde. Mittlerweile ist CAS ein Projekt des JA SIG Konsortiums, welches zum Ziel hat, Universitäten und andere höhere Bildungsinstitute zu… …   Deutsch Wikipedia

  • Central Authentication Service — The Central Authentication Service (CAS) is a single sign on protocol for the web. Its purpose is to permit a user to log into multiple applications simultaneously and automatically. It also allows untrusted web applications to authenticate users …   Wikipedia

  • Service-oriented architecture implementation framework — Service oriented architectures (SOA) are based on the notion of software services, which are high level software components that include web services. Implementation of an SOA requires tools as well as run time infrastructure software. This is… …   Wikipedia

  • Central Drug Research Institute — The Central Drug Research Institute (CDRI) is one of the first laboratories to be established in India right after its independence. CDRI is among the thirty nine laboratories that are functioning under the aegis of the council of scientific and… …   Wikipedia

  • Service delivery platform — The term Service Delivery Platform (SDP) usually refers to a set of components that provide a service’s delivery architecture (such as service creation, session control protocols) for a type of service. There is no standard definition of SDP in… …   Wikipedia

  • WLAN Authentication and Privacy Infrastructure — WAPI (WLAN Authentication and Privacy Infrastructure) is a Chinese National Standard for Wireless LAN (GB 15629.11 2003).Although it was allegedly designed to operate on top of WiFi, compatibility with the security protocol used by the 802.11… …   Wikipedia

  • Directory service — A directory service is the software system that stores, organizes and provides access to information in a directory. In software engineering, a directory is a map between names and values. It allows the lookup of values given a name, similar to a …   Wikipedia

  • Two-factor authentication — (TFA, T FA or 2FA) is an approach to authentication which requires the presentation of two different kinds of evidence that someone is who they say they are. It is a part of the broader family of multi factor authentication, which is a defense in …   Wikipedia

  • Network Information Service — The Network Information Service, or NIS (originally called Yellow Pages or YP) is a client–server directory service protocol for distributing system configuration data such as user and host names between computers on a computer network. Sun… …   Wikipedia

  • George W. Bush military service controversy — The George W. Bush military service controversy was an issue in the 2000 presidential campaign and in the 2004 presidential campaign. The controversy centered on questions of how George W. Bush, who would later become the 43rd President of the… …   Wikipedia