UNIL.7

AAA-auth (phase 2)

Long Title: Implémentation d'un système d'authentification forte à l'UNIL phase 2
Leading
Organization:
Université de Lausanne
Domain: AAA
Status: finished
Start Date: 01.06.2012
End Date: 31.12.2012
Project Leader: A. Roy

Dans cette deuxième étape pour une authentification de très haute qualité "One Time Password" (OTP) sera mise en place pour les utilisateurs accédant au FireWall protégeant les serveurs centraux. CampusCard comme élément que chaque utilisateur de l’UNIL possède déjà pour s’identifier et s’authentifier sur plusieurs ressources est utilisé.

(A voir aussi Phase 1 et Phase 3)

Résultats

Composant Déscription
Infrastructure d’authentificationforte à l’UNIL
Campus Card Production d’une Campus Card intégrant la fonctionnalité One Time Password (OTP)
Sécurisation de l’administration VPN

Pour l’UNIL, une solution d’authentification forte (deux facteurs) a été mise en place et la faisablilité d’ajouter un token OATH au CampusCard était montré. Il servira pour l’authentification forte sur des applications critiques. Il est déjà prévu de l’utiliser pour accéder à SAP et pour un serveur de terminal interne au Centre informatique.
L’infrastructure d’authentification forte est très flexible. Elle pourra être étendue à un grand nombre d’utilisateurs si nécessaire en utilisant le challenge SMS ou les soft tokens sur smartphones. Un module java dans SAP Idm pour piloter le serveur d’authentification DS3 a été développé et les IDP Shibboleth ont été modifiés pour utiliser cette authentification forte.

Le système fait partie de l’infrastructure d’authentification de l’UNIL et sera maintenue par le Centre informatique de l’UNIL.
Comme futures activités sont prévues:

  1. Distribution des cartes.
  2. Configuration finale du VPN.
  3. Feedback des utilisateurs concernant les cartes.
  4. Conclusion sur la pertinence du choix de ces cartes comme hardware token.

Dans la phase 3 un système d’auto-enregistrement des soft tokens sera implémenté sur le serveur d’authentification.


Objectifs

La première phase du projet a permis d’explorer le domaine de l’authentification forte sous divers aspects (AAI-Shibboleth, liaison avec la CampusCard, avis des utilisateurs, contexte UNIL, potentiel d’extension). La décision qui résulte est d’implémenter une solution de "One Time Password" (OTP).
Les personnes ayant besoin d’accéder aux ressources ainsi protégées devront échanger leur Campus Card contre une nouvelle intégrant un écran affichant l’OTP.
La CampusCard (RFID) est déjà utilisée pour l’accès aux bâtiments, portemonnaie électronique, l’impression, la photocopie, la location de vélos sur le campus, identification à la bibliothèque.
L’ajout de l’OTP sur cette carte est naturelle et présent un intérêt évident: c’est déjà la "clé" d’accès à de nombreux services.
L’objectif est la mise en place de ce système d’OTP au Centre informatique de l’UNIL. L’authentification forte OTP pour les utilisateurs accédant à la FireWall protégeant les serveurs centraux sera mise en place.
Un serveur d’authentification capable de gérer un grand nombre de méthodes d’authentification (OTP Oath, RSA Securid, Challenge SMS, OTP soft token,certificat X509, S/Key, Biometric token...) sera intégré au système de gestion des identités (SAP Idm). Également des nouvelles cartes à puce avec RFID et OTP Oath sont nécessaires.
Un processus d’enregistrement et d’identification des utilisateurs afin d’assurer un haut niveau de qualité de l’authentification forte sera implémenté - nécessaire selon le concept d’ "Assurance Level" étudié dans la phase précédente.

Ultérieurement (hors du projet) d’autres services critiques (SAP, RH, gestion académique,etc.) seront ajouté derrière ce système. De plus, nous désirons aussi utiliser le challenge SMS ou des "soft tokens" pour l’authentification forte pour d’autres services comptant un plus grand nombre d’utilisateurs (les étudiants). L’utilisation de "soft token" sur les smartphones est prometteuse; c’est une solution nettement moins coûteuse que l’OTP sur la CampusCard ou le challenge SMS.

Étapes

  1. Installation du serveur DSX (de la société DS3 - choix à cause de la fléxibilité, modèle de license et partenariat de développement pour un module Shibboleth)
  2. Validation de la carte proposée avec l’existant (nouvelle carte doit posséder un puce et une antenne RFID, ètre compatible avec les lecteurs RFID, inclure un système OTP (6 chiffres) répondant à la norme OATH avec un écran LCD et un bouton pour déclencher l’affichage)
  3. Mise au point du design graphique de la carte (doit ètre personnalisée
  4. Intégration du serveur DS3 dans l’environnement (connexion SAP Idm) (opérations: associer un utilisateur à une carte OTP, révoquer un utilisateur, changer la carte OTP d’un utilisateur, enregistrer, révoquer et changer le no de tél. portable d’un utilisateur)
  5. Mise au point des processus d’enregistrement (enregistrement, révocation, changement)
  6. Configuration du Firewall pour l’authentification forte
  7. Formation du Helpdesk et du guichet d’acceuil
  8. Début de l’enregistrement des utilisateurs et distribution des cartes
  9. Fermeture du Firewall pour l’authentification simple

Comme étapes futures suivront:

  • Protection des applications SAP (Finance et RH) avec l’authentification forte.
  • Protection de quelques sites AAI avec l’authentification forte. Ce sont des sites du Centre informatique contenant des informations critiques, mais utilisée par peu de personnes.
  • Mise en place du challenge SMS comme backup.
  • Mise en place de l’auto enregistrement de soft token.
  • Protection d’autres sites AAI avec l’authentification forte.

Back