UNIL.8 |
AAA-auth (phase 3) |
Long Title: | Implémentation d'un système d'authentification forte à l'UNIL phase 3 |
Leading Organization: |
Université de Lausanne |
Domain: | AAA |
Status: | finished |
Start Date: | 20.02.2013 |
End Date: | 30.04.2013 |
Project Leader: | A. Roy |
(A voir aussi Phase 1 et Phase 2)
Composant |
Infrastructure d'authentification forte à l'UNIL |
Production d'une CampusCard intégrant la fonctionnalité OTP |
Sécurisation de notre VPN d'administration |
Eléments en place pour un déploiement en grand nombre de "soft tokens" |
L'implémentation d'une solution d'authentification forte à l'UNIL est terminée avec cette phase 3 et sera maintenu
avec le système de gestion des utilisateurs.
Le VPN d'administration l'utilise maintenant pour 66 personnes avec satisfaction. Ce projet a démontré la
possibilité d'intégrer un "hardware token" de type OTP sur le CampusCard ; la solution est élégante et
fonctionnelle malgré quelques imperfections.
Le développement Java pour l'auto enregistrement est également un succès, même s'il n'est pas totalement terminé.
Avec un tel système, un déploiement auprès d'un grand nombre d'utilisateur est possible.
Le système d'authentification forte est maintenant intégré à l'infrastructure de UNIL et environ 80 utilisateurs pourront utiliser le système pour accéder au VPN d'administration.
Le code source du module Java est propriété de la société FISId. Il est utilisable avec le serveur DS3 uniquement. Le module Java est disponible auprès de la société FISId. Il faut finaliser quelques détails avant de le mettre en production à l'UNIL.Comme activités futures sont prévues:
Dans la troisième étape, un système d'auto-enregistrement des soft tokens sera implémenté dans le serveur d'authentification. Ceci permettrait de simplifier la gestion des soft token qui aurait lieu.
Un soft token est une application fonctionnant sur le téléphone de l'utilisateur. Une telle application génère, sur pression d'un bouton, un OTP selon la norme OATH. DS3 fournit déjà sur les sites respectifs une telle application pour iOS, Android et Windows Phone. Pour que cela fonctionne avec le serveur d'authentification DS3, il faudra y enregistrer le secret OATH (clé de 128 bits minimum).
La société DS3 offre déjà à la base une telle fonctionnalité avec son serveur d'authentification. Ce système est
basé sur une application Java que sera configuré et adapté à l'environnement. Il s'agit essentiellement de
déporter cette application sur un "serveur proxy" dans une zone du réseau ouverte sur internet.
Sur son smartphone, dans l'application DS3 OATH, l'utilisateur devra introduire l'url de ce service d'enregistrement
et son mot de passe. Le reste est entièrement automatique : transmission du secret OATH et création de l'utilisateur
dans le serveur DS3 et initialisation du soft token sur le smartphone.
Celui-ci serait alors directement injecté dans le ser-veur DS3 pour le challenge SMS et dans le système SAP Idm pour stockage et éventuelle réutilisation dans d'autre contexte.