FLASH INFORMATIQUE FI



Tequila, l’ouverture au monde


Le Tequila nouveau est arrivé et c’est un grand cru.



The new Tequila is here and it is a great growth.



Claude LECOMMANDEUR


Introduction

Il y a bien longtemps que je ne vous avais entretenu de Tequila. Les gens heureux n’ont pas d’histoire, dit-on, il en est de même pour les logiciels qui fonctionnent bien. Mais le monde bouge, des empires se font et se défont, des civilisations fleurissent alors que d’autres déclinent, le temps est venu pour Tequila de s’offrir un lifting dont cet article va vous donner un pâle reflet.

Authentification forte

Tequila offrait déjà la possibilité de s’authentifier avec un mot de passe ou un certificat SSL. Mais la mode est à l’authentification dite forte ou multifacteur. Multifacteur signifie que l’authentification nécessite plusieurs canaux physiquement séparés pour s’effectuer. Le premier canal est l’ordinateur sur lequel vous tapez le username et le mot de passe. Le second est généralement un smartphone ou une clé physique spéciale qui peut générer un code complémentaire, le plus souvent numérique. Il existe plusieurs protocoles relativement standard permettant de calculer cette clé complémentaire. Celui choisi pour Tequila est OATH. On trouve sur le marché des clés physiques OATH ainsi que plusieurs applications pour smartphones. Une des plus conviviales est Google Authenticator qui fonctionne très bien sur tous les smartphones usuels.
Si un site protégé par Tequila s’estime suffisamment important pour avoir une sécurisation supplémentaire, il peut demander à Tequila d’imposer une authentification forte à l’utilisateur. Dans ce cas le formulaire usuel de login comportera une ligne supplémentaire pour entrer un code à six chiffres que l’utilisateur devra absolument donner pour s’authentifier.
Les utilisateurs disposant d’un smartphone auront dû au préalable y installer leur application OATH, puis se connecter sur le site Gaspar pour l’initialiser. Ainsi, toutes les trente secondes l’application va générer une nouvelle clé à six chiffres qui sera à utiliser lors du login Tequila. Les utilisateurs n’ayant pas (encore) de smartphone peuvent demander une clé physique qui effectue le même travail.

Protocoles d’authentification

Quand Tequila fut créé (2003), il n’existait pas de protocole d’authentification Web Single Sign-on (méthode permettant à un utilisateur de ne procéder qu’à une seule authentification pour plusieurs applications) d’une quelconque notoriété. Cette situation a changé, Il en existe maintenant plusieurs. Deux d’entre eux, OAuth2 et SAML2 sont particulièrement à la mode et nous avons décidé de les supporter dans Tequila. Attention, ne pas confondre OAuth et OATH, vous vous couvririez de ridicule.
Dans la pratique, si vous avez un site Web sécurisé qui parle un de ces protocoles, plus besoin de fichiers .htaccess et autres use Tequila dans votre code, juste un peu de configuration et vous bénéficierez de toutes les merveilles de Tequila.

Support de OAuth2

OAuth signifie Open Standard for Authorization. Le 2 signifie version 2. Il y a eu une version 1, probablement commise par des débutants, exagérément et inutilement complexe. Heureusement la version 2 est apparue, totalement incompatible avec la version 1, mais qui rend l’écriture de clients et de serveurs beaucoup plus aisée. L’intégration dans Tequila s’est faite d’une manière relativement simple et directe, l’implémentation du serveur OAuth2 est totalement indépendante de Tequila. Seul son accès est protégé par Tequila via le protocole usuel des clients Tequila. Ainsi, il y a indépendance totale entre les deux implémentations, en un mot, un (éventuel) bug dans OAuth2 ne peut aucunement mettre en cause le fonctionnement de Tequila.

Support de SAML2

SAML2 signifie Security Assertion Markup Language. C’est un autre protocole d’authentification et de contrôle d’accès basé, comme son nom l’indique, sur XML, donc extrêmement verbeux et peu efficace. SAML2 est le protocole utilisé par l’outil de fédération Shibboleth, lui-même utilisé par la fédération Switch AAI.
L’intégration dans Tequila est identique à celle de OAuth2 : époustouflante.

Ressources

Vous vous dites sûrement :Tequila offre beaucoup plus de possibilités que OAuth2 et SAML2, comment vais-je faire pour imposer des contraintes aux utilisateurs autorisés (require), demander des attributs particuliers (request) ou exiger une authentification forte  ?
Rassurez-vous, je suis là. La notion de ressource est intégrée à Tequila depuis la nuit des temps. Une ressource (au sens Tequila) est une configuration de site Web sécurisé stockée dans le serveur Tequila, c’est-à-dire que toutes les caractéristiques du site sécurisé sont connues à l’avance de Tequila et lors d’une authentification, ce site ne communique que l’ identificateur de la ressource lui correspondant. Bien que très utile cette possibilité n’a jamais été réellement exploitée. Cela va changer.
Tous les clients Oauth2 et SAML2 devront être déclarés comme ressource. Toutes les caractéristiques spécifiques Tequila et Oauth2 ou SAML2 y seront spécifiées.



description d’une ressource native



description d’une ressource SAML2

Les gestionnaires de sites protégés par Tequila comprendront. Comme vous pouvez le constater, un outil de gestion Web des ressources existe, mais il n’est pas encore disponible pour le grand public. Pour l’instant, si vous désirez configurer votre application comme ressource, il vous faudra me contacter par courriel.

Références



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.