Différences
Ci-dessous, les différences entre deux révisions de la page.
Révision précédente | |||
— | documentation_publique:concepts:authentification [2019/10/26 13:47] (Version actuelle) – jdorel | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | # Authentification | ||
+ | L' | ||
+ | |||
+ | ## Sécurité | ||
+ | |||
+ | D'un point de vue sécurité, la façon la plus sécurisé pour s' | ||
+ | |||
+ | Le problème principal des mots de passe vient du fait qu'il est nécessaire de les envoyer (soit directement, | ||
+ | |||
+ | TLDR: Clé assymétrique > Mot de passe envoyé à l'IDP > Mot de passe envoyé au système | ||
+ | |||
+ | NB: Un mot de passe peut être utilisé pour dériver la clé privé d'un chiffrement assymétrique. | ||
+ | |||
+ | ## Authentification centralisée | ||
+ | |||
+ | Dans une infrastructure disposant de nombreux services, il est souhaitable de centraliser le mécanisme d' | ||
+ | |||
+ | Du point de vue utilisateur, | ||
+ | * d' | ||
+ | |||
+ | Pour les administrateurs, | ||
+ | |||
+ | De façon général, cela permet d' | ||
+ | |||
+ | NB: Il peut arriver qu'un service implémente une authentification centralisée sans avoir une base de données des utilisateurs centralisée. Par exemple Proxmox 5.4 | ||
+ | |||
+ | ### Authentification: | ||
+ | * Locale | ||
+ | * Remote (through service) | ||
+ | * Remote (credentials never sent to server, directly sent to IDP) (SSO) | ||
+ | * Asymetric (either local or remote) | ||
+ | |||
+ | Sauf en cas de SSO, la conservation de la connexion d'un utilisateur et la mise en place d'un timeout de déconnexion sont à la responsabilité du service. | ||
+ | |||
+ | En cas de SSO: | ||
+ | * tant que le SSO ne déconnecte pas l' | ||
+ | * l' | ||
+ | |||
+ | #### Timeout | ||
+ | |||
+ | Une fois authentifié la responsabilité de considérer l' | ||
+ | * au service en cas d' | ||
+ | * au choix au service ou à l' | ||
+ | |||
+ | au service. Dans le cas d'un SSO, cette responsabilité peut être délégué. | ||
+ | |||
+ | ### Gestion des utilisateurs / groupes | ||
+ | |||
+ | :?: Gestion utilisateur ou authentification (ou les deux) | ||
+ | |||
+ | * Local ([-] requires sync) ([-] leak password hash to service [or use assymetric authentication]) | ||
+ | * Push sync | ||
+ | * Pull sync ( requires sycn scheduling ) | ||
+ | * Remote | ||
+ | * [-] Requires additionnal local users when losing remote access (bad network or bad config) or risk losing access completely (requires going in the service configuration files/DB) | ||
+ | |||
+ | ### Authentification unique / Single Sign On | ||
+ | |||
+ | Single Sign On (SSO) consiste à ne s' | ||
+ | |||
+ | Directory Server Authentication | ||
+ | |||
+ | Reduce Sign On (RSO): SSO + accès à certains services (par exemple une banque) nécessite une authentification supplémentaire. Autre exemple: un administrateur utilise des services à la fois comme utilisateur et comme administrateurs, | ||
+ | |||
+ | https:// |