UNIL.7 |
AAA-auth (phase 2) |
Long Title: | Implémentation d'un système d'authentification forte à l'UNIL phase 2 |
Leading Organization: |
Université de Lausanne |
Domain: | AAA |
Status: | finished |
Start Date: | 01.06.2012 |
End Date: | 31.12.2012 |
Project Leader: | A. Roy |
(A voir aussi Phase 1 et Phase 3)
Composant | Déscription |
Infrastructure d’authentificationforte à l’UNIL | |
Campus Card | Production d’une Campus Card intégrant la fonctionnalité One Time Password (OTP) |
Sécurisation de l’administration VPN |
Pour l’UNIL, une solution d’authentification forte (deux facteurs) a été mise en place et la
faisablilité d’ajouter un token OATH
au CampusCard était montré. Il servira pour l’authentification forte sur des applications critiques. Il est
déjà prévu de l’utiliser pour accéder à SAP et pour un serveur de terminal interne au Centre informatique.
L’infrastructure d’authentification forte est très flexible. Elle pourra être étendue à un
grand nombre d’utilisateurs si nécessaire en utilisant le challenge SMS ou les soft tokens sur smartphones.
Un module java dans SAP Idm pour piloter le serveur d’authentification DS3 a été développé et les IDP Shibboleth
ont été modifiés pour utiliser cette authentification forte.
Le système fait partie de l’infrastructure d’authentification de l’UNIL et sera maintenue par le Centre informatique de l’UNIL.
Comme futures activités sont prévues:
Dans la phase 3 un système d’auto-enregistrement des soft tokens sera implémenté sur le serveur d’authentification.
La première phase du projet a permis d’explorer le domaine de l’authentification forte sous divers aspects
(AAI-Shibboleth, liaison avec la CampusCard, avis des utilisateurs, contexte UNIL, potentiel d’extension).
La décision qui résulte est d’implémenter une solution de "One Time Password" (OTP).
Les personnes ayant besoin d’accéder aux ressources ainsi protégées devront échanger
leur Campus Card contre une nouvelle intégrant un écran affichant l’OTP.
La CampusCard (RFID) est déjà utilisée pour l’accès aux bâtiments, portemonnaie électronique,
l’impression, la photocopie, la location de vélos sur le campus, identification à la bibliothèque.
L’ajout de l’OTP sur cette carte est naturelle et présent un intérêt évident:
c’est déjà la "clé" d’accès à de nombreux services.
L’objectif est la mise en place de ce système d’OTP au Centre informatique de l’UNIL.
L’authentification forte OTP pour les utilisateurs accédant à la
FireWall protégeant les serveurs centraux sera mise en place.
Un serveur d’authentification capable de gérer un grand nombre de méthodes d’authentification (OTP Oath, RSA Securid,
Challenge SMS, OTP soft token,certificat X509, S/Key, Biometric token...) sera intégré au système de gestion des identités (SAP Idm).
Également des nouvelles cartes à puce avec RFID et OTP Oath sont nécessaires.
Un processus d’enregistrement et d’identification des utilisateurs afin d’assurer un haut niveau de qualité de
l’authentification forte sera implémenté - nécessaire selon le concept d’ "Assurance Level" étudié dans la phase précédente.
Ultérieurement (hors du projet) d’autres services critiques (SAP, RH, gestion académique,etc.) seront ajouté derrière ce système.
De plus, nous désirons aussi utiliser le challenge SMS ou des "soft tokens" pour l’authentification
forte pour d’autres services comptant un plus grand nombre d’utilisateurs (les étudiants).
L’utilisation de "soft token" sur les smartphones est prometteuse; c’est une solution nettement moins coûteuse
que l’OTP sur la CampusCard ou le challenge SMS.
Comme étapes futures suivront: