Révolution pour s’authentifier au CERN : le nouveau portail d’authentification « Single Sign-On »
Jusqu’à aujourd’hui, l’accès aux applications non publiques du CERN était protégé par le portail d’authentification Single Sign-On (CERN SSO) et nécessitait votre mot de passe CERN. Cependant, étant donné que de nombreuses personnes ont aussi un compte informatique dans leur institut d’origine, sur Facebook ou Google, ne serait-il pas logique de permettre à ces comptes d’être utilisés pour s’authentifier au CERN ?
Comme nous estimons que c’est effectivement logique, l’équipe CERN SSO a étendu les fonctionnalités du portail d’authentification SSO pour établir les fondations nécessaires à l’utilisation de ces comptes dits publics (Public Accounts) et fédérés (Federated Accounts), ainsi que pour permettre l’authentification multi-facteurs. Ces changements seront mis en oeuvre le 21 janvier 2013. Vous pouvez déjà en avoir un aperçu ici. C’est maintenant à vous, administrateurs et propriétaires de sites web, de mettre à profit ces nouvelles fonctionnalités pour permettre à vos utilisateurs d’utiliser leurs comptes externes.
Comptes publics (Public Accounts)
Certaines applications web sont quasiment publiques et ne nécessitent qu’une adresse mail comme identifiant interne (comme le site CERN Market). Aujourd’hui, les utilisateurs intéressés doivent créer un compte lightweight external dédié, et nombreux sont ceux qui dupliquent ici leur compte Google ou Facebook. Maintenant, les administrateurs web peuvent explicitement permettre l’utilisation de comptes externes comme ceux de Google, Facebook, Windows Live, Yahoo ou Orange. Les utilisateurs sont dans ce cas redirigés vers le fournisseur d’identités correspondant pour les besoins du login, avant d’entrer sur l’application hébergée au CERN. Sur le long terme, nous pourrions envisager la disparition des comptes lightweight.
Comptes fédérés (Federated Accounts)
D’autres applications web (comme le Twiki USATLAS) nécéssitent d’autoriser l’accès non seulement à des personnes du CERN sélectionnées, mais également au personnel BNL, par exemple. Pourquoi ces personnes de BNL devraient-elles obtenir un compte CERN pour accéder simplement à une application web ? Il serait plus approprié de les laisser s’authentifier avec les identifiants de leur institut d’origine. De plus, le CERN a rejoint une discussion concernant les « identités fédérées / federated identities » afin de définir des relations de confiance et des technologies permettant d’utiliser ces comptes et identités fédérés de manière fiable pour s’authentifier au CERN. Comme première étape, quelques fédérations initiales ont été établies (par exemple avec SWITCH) et nous espérons étendre leur nombre courant 2013.
Authentification multi-facteurs (Two-Factor Authentication)
Si la protection de l’accès à votre application web est primordiale (comme pour le wiki interne de la Computer Security Team), le nouveau portail SSO offre la possibilité d’activer l’authentification multi-facteurs - en plus d'éléments connus par vos utilisateurs comme le mot de passe, ils auront besoin d'un objet comme leur carte d’accès CERN, une clé USB ou un téléphone portable. Seuls les utilisateurs pouvant produire le certificat stocké sur leur carte d’accès CERN, pouvant produire un mot de passe unique généré par leur clé USB personnelle (Yubikey), ou pouvant copier un nombre à 6 chiffres reçu ou généré par leur téléphone portable enregistré au CERN, pourront accéder à votre application. Ceci ajoute une protection supplémentaire aux services web critiques et évite que l’application soit utilisée de manière abusive si un utilisateur se fait voler son mot de passe.
Que devez-vous faire ?
En tant qu’administrateur ou propriétaire de site web, vous devez simplement configurer le
portail SSO pour votre site afin de déclarer quelle(s) méthode(s) d’authentification vous souhaitez utiliser. En tant qu’utilisateur, vous avez juste à déclarer votre compte fédéré sur
http://account.cern.ch. De plus, n’oubliez pas les bénéfices de l’authentification «
One Click » : au lieu de retaper votre mot de passe, vous pouvez utiliser le ticket localement caché Windows ou Kerberos, ou vous pouvez vous authentifier en utilisant votre certificat CERN (disponible par la
CERN Certification Authority sur
http://ca.cern.ch).
Comme vous le voyez, une révolution arrive. Alors que l’équipe CERN Single Sign-On va déployer les fondations permettant l’authentification multi-facteurs et l’utilisation de comptes publics et fédérés le 21 janvier, c’est maintenant à vous, en tant qu’administrateur de site web, de bénéficier de ces nouvelles fonctionnalités ! Nous continuerons à agrandir le réseau de partenaires fédérés et à travailler à l’intégration des sites web n’utilisant pas encore le CERN SSO.
par CERN Single Sign-On Team & the Computer Security Team