UNIL.3

AAA-auth (phase 1)

Long Title: Authentification forte et qualité des données phase 1
Leading
Organization:
Université de Lausanne
Domain: AAA
Status: finished
Start Date: 01.11.2009
End Date: 31.12.2011
Project Leader: A. Roy

Le système de gestion des utilisateurs de l’UNIL (Gestu) est l’équivalent d’un Identy Management System. Dans le futur au moins 5 types de comptes (étudiant, personne externe, personne morale etc.) seront distingués dans Gestu et transmis par des attributs aux ressources de la fédération. Les fonctionnalités ajoutées permettent de gérer et contrôler la qualité des données et de gérer les éléments nécessaires à une authentification forte.

(A voir aussi Phase 2)

Résultats

Le système de gestion des identités informatiques a été renouvelé. La connaissance de l’authentification forte est maintenant suffisante pour faire un choix d’implémentation à l’UNIL. Nos connaissances du produit SAP Idm et l’expérience dans le domaine de l’authentification forte peuvent être utile pour conseiller d’autres institutions.

Composante Déscription
Module complémentaire au Mutli-Factor Handler de Yubikey pour l’interrogation LDAP. Un ajout au logiciel client Yubico pour Java a été réalisé pour permettre l’intégration avec un annuaire LDAP. Cet ajout a été donné à Yubico.
LoginHandler pour SMS Voir avec le responsable du projet (Alexandre Roy) pour obtenir le code source.
Module JAAS implémentant le protocole RADIUS Voir avec le responsable du projet (Alexandre Roy) pour obtenir le code source.
Module JAAS-RADIUS pour Shibboleth de DS3 Voir auprès de cette société pour ce module fonctionnant avec leur serveur d’authentification (implémente aussi la méthode SMS).
Nouveau système de gestion des utilisateurs à l’Unil Accès-comptes-identités à l’UNIL: http://www.unil.ch/ci/acces

Future activité prévue est la mise en service en 2012 de la solution d’authentification forte pour l’accès au FireWall administratif dans une deuxième phase du projet.


Situation initiale

Le système de gestion des utilisateurs fait partie intégrante du système de gestion administrative de l’UNIL. La technologie utilisée est dépassée et l’architecture inadéquate pour une évolution future et pour l’ajout de nouvelles fonctionnalités.
Actuellement, les données des utilisateurs informatiques sont toutes gérées de la même manière, sans indication de leur qualité; quelle que soit le niveau de l’identification des personnes physiques correspondantes, chaque compte informatique est présenté comme ayant la même qualité. Ceci est un problème dans le contexte d’une fédération d’organisations (SwitchAAI).

Objectifs

Il est nécessaire de mettre en place un nouveau système de gestion d’identité (Idm); cette nécessité est également renforcée par l’évolution de modules entiers de l’informatique administrative vers SAP. Gestu va être renouvellé et il y sera ajouté les fonctionnalités permettant de:

  1. gérer et contrôler la qualité des données;
  2. gérer les éléments nécessaires à une authentification forte.

L’UNIL a au moins 5 types de comptes:

  • étudiant,
  • personne avec contrat de travail,
  • personne d’une institution affiliée,
  • personne externe,
  • personne morale.

Il est nécessaire d’introduire cette distinction dans Gestu et de la transmettre par des attributs aux ressources de la fédération. Une part importante de ce travail réside dans la rédaction d’un règlement et dans sa mise en application par les diverses unités de l’UNIL; en particulier pour les unités responsables de l’identification des personnes et de l’entrée de leur données dans le système informatique (RH et immatriculations).
Ce genre d’information (assurance level) devrait être standardisé dans la fédération SwitchAAI; dans ce projet, nous désirons aboutir à cette standardisation avec la collaboration et les conseils de l’équipe AAI de SWITCH.

Étapes

Niveaux de qualité (Assurance level)

  1. Étude des standards existant et de quelques modèles utilisés dans des institutions comparables à l’UNIL;
  2. Analyse de la situation à l’UNIL (données, identification des personnes, système d’authentification, ...);
  3. Proposition pour la définition de l’attribut eduPersonAssurance et de la correspondance avec la situation à l’UNIL;
  4. Écriture d’un document de référence définissant les processus internes de saisie des données donnant lieu à la création des identités informatiques; Ce document établira les contraintes sur les processus pour chaque niveau de qualité;
  5. Implémentation dans GESTU de la gestion du niveau de qualite;
  6. Implémentation de l’attribut AAI eduPersonAssurance dans l’ldp de l’UNIL;
  7. Test et adaptation;
  8. Publication interne et externe du document de référence. Information interne;
  9. Contrôle du respect correct des règles;
  10. Adaptation du contrôle d’accès sur les ressources internes sur lesquelles la qualité de l’identification et des données liées à la personne est importante.

Authentification forte

  1. Etude des méthodes d’authentification existantes et de leur utilisation dans le contexte d’une institution comme l’UNIL;
  2. Choix d’un certain nombre de méthodes à mettre en oeuvre pour des tests sur l’Idp;
  3. Développements, adaptations, achat de matériel, installation de ces méthodes d’authentification sur un Idp de test;
  4. Tests (réalisés uniquement avec quelques utilisateurs spécialistes du Centre informatique);
  5. Réévaluation des diverses méthodes d’authentification testées. Adaptation du choix des méthodes pour des tests plus étendus avec des utilisateurs non-informaticiens;
  6. Test plus étendus à l’UNIL;
  7. Choix des méthodes d’authentification à mettre en production;
  8. Adaptation de Gestu pour gérer les données relatives à ces méthodes d’authentification;
  9. Mise en production;
  10. Documentation, information aux utilisateurs.

Back