188 lines
9.6 KiB
HTML
188 lines
9.6 KiB
HTML
<!DOCTYPE html>
|
|
<html lang="fr" dir="ltr">
|
|
<head>
|
|
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
|
|
<meta charset="utf-8" />
|
|
<title>documentation:2.0:idpopenid</title><!-- //if:usedebianlibs
|
|
<link rel="stylesheet" type="text/css" href="/javascript/bootstrap/css/bootstrap.min.css" />
|
|
//elsif:useexternallibs
|
|
<link rel="stylesheet" type="text/css" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css"></script>
|
|
//elsif:cssminified
|
|
<link rel="stylesheet" type="text/css" href="/static/bwr/bootstrap/dist/css/bootstrap.min.css" />
|
|
//else --><!-- //endif -->
|
|
<meta name="generator" content="DokuWiki"/>
|
|
<meta name="robots" content="index,follow"/>
|
|
<meta name="keywords" content="documentation,2.0,idpopenid"/>
|
|
<link rel="search" type="application/opensearchdescription+xml" href="lib/exe/opensearch.html" title="LemonLDAP::NG"/>
|
|
<link rel="start" href="idpopenid.html"/>
|
|
<link rel="contents" href="idpopenid.html" title="Sitemap"/>
|
|
<link rel="stylesheet" type="text/css" href="lib/exe/css.php.t.bootstrap3.css"/>
|
|
|
|
<link rel="stylesheet" type="text/css" href="/static/bwr/bootstrap/dist/css/bootstrap.css" />
|
|
|
|
<script type="text/javascript">/*<![CDATA[*/var NS='documentation:2.0';var JSINFO = {"id":"documentation:2.0:idpopenid","namespace":"documentation:2.0"};
|
|
/*!]]>*/</script>
|
|
<script type="text/javascript" charset="utf-8" src="lib/exe/js.php.t.bootstrap3.js"></script><!-- //if:usedebianlibs
|
|
<script type="text/javascript" src="/javascript/jquery/jquery.min.js"></script>
|
|
//elsif:useexternallibs
|
|
<script type="text/javascript" src="http://code.jquery.com/jquery-2.2.0.min.js"></script>
|
|
//elsif:jsminified
|
|
<script type="text/javascript" src="/static/bwr/jquery/dist/jquery.min.js"></script>
|
|
//else -->
|
|
|
|
<script type="text/javascript" src="/static/bwr/jquery/dist/jquery.js"></script><!-- //endif --><!-- //if:usedebianlibs
|
|
<script type="text/javascript" src="/javascript/jquery-ui/jquery-ui.min.js"></script>
|
|
//elsif:useexternallibs
|
|
<script type="text/javascript" src="http://code.jquery.com/ui/1.10.4/jquery-ui.min.js"></script>
|
|
//elsif:jsminified
|
|
<script type="text/javascript" src="/lib/scripts/jquery-ui.min.js"></script>
|
|
//else -->
|
|
|
|
|
|
<script type="text/javascript" src="/lib/scripts/jquery-ui.js"></script><!-- //endif -->
|
|
|
|
</head>
|
|
<body>
|
|
<div class="dokuwiki export container"><!-- TOC START -->
|
|
|
|
<div id="dw__toc">
|
|
<h3 class="toggle">Table of Contents</h3>
|
|
<div>
|
|
|
|
<ul class="toc">
|
|
<li class="level1"><div class="li"><a href="#presentation">Présentation</a></div></li>
|
|
<li class="level1"><div class="li"><a href="#configuration">Configuration</a></div>
|
|
<ul class="toc">
|
|
<li class="level2"><div class="li"><a href="#shared_attributes_sreg">Attributs partagés (SREG)</a></div></li>
|
|
<li class="level2"><div class="li"><a href="#security">Sécurité</a></div></li>
|
|
</ul></li>
|
|
</ul>
|
|
</div>
|
|
</div><!-- TOC END -->
|
|
|
|
|
|
<h1 class="sectionedit1" id="openid_server">Serveur OpenID</h1>
|
|
<div class="level1">
|
|
<div class="notewarning">Le protocole OpenID est obsolète, il faut maintenant utiliser <a href="idpopenidconnect.html" class="wikilink1" title="documentation:2.0:idpopenidconnect">OpenID-Connect</a>.
|
|
</div>
|
|
</div><!-- EDIT1 SECTION "OpenID server" [1-136] -->
|
|
|
|
<h2 class="sectionedit2" id="presentation">Présentation</h2>
|
|
<div class="level2">
|
|
|
|
<p>
|
|
<abbr title="LemonLDAP::NG">LL::NG</abbr> can act as an OpenID 2.0 Server, that can allow one to federate <abbr title="LemonLDAP::NG">LL::NG</abbr> with:
|
|
|
|
</p>
|
|
<ul>
|
|
<li class="level1"><div class="li"> Un autre système <abbr title="LemonLDAP::NG">LL::NG</abbr> configuré avec <a href="authopenid.html" class="wikilink1" title="documentation:2.0:authopenid">authentification OpenID</a></div>
|
|
</li>
|
|
<li class="level1"><div class="li"> N'importe quel client OpenID</div>
|
|
</li>
|
|
</ul>
|
|
|
|
<p>
|
|
<abbr title="LemonLDAP::NG">LL::NG</abbr> est compatible avec le protocole d'authentification OpenID <a href="http://openid.net/specs/openid-authentication-2_0.html" class="urlextern" title="http://openid.net/specs/openid-authentication-2_0.html" rel="nofollow">version 2.0</a> et <a href="http://openid.net/specs/openid-authentication-1_1.html" class="urlextern" title="http://openid.net/specs/openid-authentication-1_1.html" rel="nofollow">version 1.0</a>. Ce peut être utilisé pour partager l'authentification et pour partager les attributs utilisateurs en suivant les spécifications <a href="http://openid.net/specs/openid-simple-registration-extension-1_0.html" class="urlextern" title="http://openid.net/specs/openid-simple-registration-extension-1_0.html" rel="nofollow">OpenID Simple Registration Extension 1.0 (SREG)</a>.
|
|
</p>
|
|
|
|
<p>
|
|
Lorsque <abbr title="LemonLDAP::NG">LL::NG</abbr> est configuré en fournisseur d'identité OpenID, les utilisateurs peuvent partager leur authentification en utilisant [PORTAIL]/openidserver/[login] où :
|
|
</p>
|
|
<ul>
|
|
<li class="level1"><div class="li"> [PORTAIL] est l'<abbr title="Uniform Resource Locator">URL</abbr> du portail</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> [login] est le nom de connexion (ou tout autre information de session, <span class="curid"><a href="idpopenid.html#configuration" class="wikilink1" title="documentation:2.0:idpopenid">voir ci-dessous</a></span>)</div>
|
|
</li>
|
|
</ul>
|
|
|
|
<p>
|
|
Exemple :
|
|
</p>
|
|
<pre class="code">http://auth.example.com/openidserver/foo.bar</pre>
|
|
|
|
</div><!-- EDIT2 SECTION "Presentation" [137-1125] -->
|
|
|
|
<h2 class="sectionedit3" id="configuration">Configuration</h2>
|
|
<div class="level2">
|
|
|
|
<p>
|
|
Dans le manager, aller dans <code>Paramètres généraux</code> > <code>Modules fournisseurs</code> » <code>OpenID</code> et configurer :
|
|
</p>
|
|
<ul>
|
|
<li class="level1"><div class="li"> <strong>Activation</strong> : mettre à <code>Activé</code>.</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> <strong>Chemin</strong> : laisser <code>^/openidserver/</code> sauf si le fichier de <a href="configlocation.html#portal" class="wikilink1" title="documentation:2.0:configlocation">configuration Apache du portail</a> a été modifiée.</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> <strong>Règle d'utilisation</strong> : une règle pour autoriser l'usage de ce module, mettre 1 pour toujours l'autoriser.</div>
|
|
</li>
|
|
</ul>
|
|
<div class="notetip">Par exemple, pour n'autoriser que les utilisateurs authentifiés fortement :
|
|
<pre class="code">$authenticationLevel > 2</pre>
|
|
|
|
</div>
|
|
<p>
|
|
Aller ensuite dans <code>Options</code> pour définir :
|
|
</p>
|
|
<ul>
|
|
<li class="level1"><div class="li"> <strong>Jeton secret</strong> : le jeton secret utilisé pour sécuriser les transmissions entre le client et le server OpenID (<span class="curid"><a href="idpopenid.html#security" class="wikilink1" title="documentation:2.0:idpopenid">voir ci-dessous</a></span>).</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> <strong>Identificant OpenID</strong> : la clef de session utilisée pour correspondre au login OpenID.</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> <strong>Domaines autorisés</strong> : liste blanche ou noire des domaines clients OpenID (<span class="curid"><a href="idpopenid.html#security" class="wikilink1" title="documentation:2.0:idpopenid">voir ci-dessous</a></span>).</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> <strong>Associations SREG</strong> : liens entre les attributs SREG et les clefs de session (<span class="curid"><a href="idpopenid.html#shared_attributes_sreg" class="wikilink1" title="documentation:2.0:idpopenid">voir ci-dessous</a></span>).</div>
|
|
</li>
|
|
</ul>
|
|
<div class="notetip">Si l'<code>identifiant OpenID</code> n'est pas renseigné, la donnée <code>Paramètres généraux</code> » <code>Journalisation</code> » <code>REMOTE_USER</code> est utilisée, mise à <code>uid</code> par défaut
|
|
</div>
|
|
</div><!-- EDIT3 SECTION "Configuration" [1126-2240] -->
|
|
|
|
<h3 class="sectionedit4" id="shared_attributes_sreg">Attributs partagés (SREG)</h3>
|
|
<div class="level3">
|
|
|
|
<p>
|
|
<a href="http://openid.net/specs/openid-simple-registration-extension-1_0.html" class="urlextern" title="http://openid.net/specs/openid-simple-registration-extension-1_0.html" rel="nofollow">SREG</a> permet le partage de 8 attributs :
|
|
</p>
|
|
<ul>
|
|
<li class="level1"><div class="li"> Nick name</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Email</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Nom complet</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Date of birth</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Gender</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Postal code</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Country</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Langue</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Timezone</div>
|
|
</li>
|
|
</ul>
|
|
|
|
<p>
|
|
Chaque attribut SREG est associé à une clef de session utilisateur. Une clef de session peut être associée à un ou plusieurs attributs SREG.
|
|
</p>
|
|
<div class="noteclassic">Si le client OpenID demande des données utilisateurs, ceux-ci sont questionnés pour accepter ou non le partage.
|
|
</div>
|
|
</div><!-- EDIT4 SECTION "Shared attributes (SREG)" [2241-2748] -->
|
|
|
|
<h3 class="sectionedit5" id="security">Sécurité</h3>
|
|
<div class="level3">
|
|
<ul>
|
|
<li class="level1"><div class="li"> <abbr title="LemonLDAP::NG">LL::NG</abbr> peut être configuré pour restreindre les échanges OpenID en utilisant les listes blanches ou noires de domaines.</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> S'il n'est pas renseigné, le jeton secret est calculé en utilisant la clef de chiffrement générale.</div>
|
|
</li>
|
|
</ul>
|
|
<div class="noteimportant">Noter que le protocole <a href="idpsaml.html" class="wikilink1" title="documentation:2.0:idpsaml">SAML</a> est plus securisé que OpenID, ainsi si les partenaires sont connus, preférer <a href="idpsaml.html" class="wikilink1" title="documentation:2.0:idpsaml">SAML</a>.
|
|
</div>
|
|
</div><!-- EDIT5 SECTION "Security" [2749-] -->
|
|
</div>
|
|
</body>
|
|
</html>
|