FLASH INFORMATIQUE FI



Vous aimez (le) Gaspar, vous allez aimer (la) Tequila




Claude LECOMMANDEUR


Vous connaissez tous Gaspar, le merveilleux outil d’authentification et de contrôle d’accès pour les applications Web sécurisées de l’EPFL. Tequila est une approche complémentaire de Gaspar, portable, multi-institutions et plus riche en outils côté client.

Tequila offre la possibilité de mettre en place un ensemble de serveurs qui collaborent pour offrir une solution d’authentification globale à un ensemble d’institutions qui gèrent elles-mêmes leurs bases d’utilisateurs sans qu’il y ait besoin de regrouper ces utilisateurs (et les attributs qui vont avec) dans une base de données centrale. En ce sens Tequila est un outil d’authentification et un contrôle d’accès fédéré.

Tequila a été proposé lors de l’appel d’offre de SWITCH pour la mise en place d’un système d’authentification global pour toutes les universités et hautes écoles Suisses, mais, bien qu’infiniment supérieur à tous ses concurrents, il n’a malheureusement pas été retenu (le choix s’est porté sur Shibbooleth).

Comment fonctionne cette fédération de serveurs Tequila ?

Chaque institution participante doit posséder sa propre base d’utilisateurs qu’elle gère elle-même, en général dans un serveur LDAP, mais Tequila peut utiliser d’autres sources via un système de plug-in.

Lorsqu’un utilisateur tente d’accéder à une application sécurisée, l’application le redirige vers le serveur Tequila de l’institution locale (à l’application). Si l’utilisateur est lui aussi de cette institution, il s’authentifie normalement avec son username/password. Mais s’il est membre d’une autre institution participante à la fédération (c’est là où ça devient rigolo), Tequila lui offre la possibilité de s’authentifier sur son propre serveur via une redirection. S’il le fait correctement, l’application sécurisée initiale recevra les données de cet utilisateur et le nom de son institution mère. Elle pourra alors en toute sécurité donner les droits adéquats à cet utilisateur.

A aucun moment l’utilisateur ne dévoile son mot de passe à un autre serveur que celui de son institution mère. L’application sécurisée initiale peut demander des précisions sur cet utilisateur (nom, prénom, unité, ...), mais l’interface Tequila le prévient qu’elle va divulguer ces informations et lui offre la possibilité de ne pas le faire (au risque de se voir refuser l’accès à l’application). L’utilisateur reste le maître de ses données personnelles.

Voyons le côté client

Ici le client est une application Web qui doit être sécurisée. Tequila offre une palette d’outils pour le client. Comme pour Gaspar, l’application peut gérer seule et à ras les pâquerettes son dialogue avec Tequila, ainsi tout CGI, quel que soit son langage, peut y avoir accès. Mais la distribution standard contient des modules Perl et Java qui simplifient considérablement l’accès pour ces langages. Il y a aussi un module Apache (1.x pour l’instant, 2.x bientôt) qui permet de protéger automatiquement, via une configuration simple des documents html, des répertoires entiers, voire même des serveurs WWW entiers sans la plus petite ligne de programme.

Un article plus détaillé suivra dans le prochain Flash informatique.

Pour en savoir plus une seule adresse : tequila.epfl.ch.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.