Technologie Sortie de Lasso 2.3.3.

Posté par . Modéré par Christophe Guilloux.
Tags :
16
5
oct.
2010
Technologie
Entr'ouvert annonce la sortie de Lasso 2.3.3, la bibliothèque de gestion d'identité qui supporte SAML 2.0, ID-FF et ID-WSF.

Lasso est une bibliothèque SAML 2.0 (NdM : SAML est un langage lié à la sécurité basé sur XML) sous licence GNU GPL permettant d'intégrer la fédération d'identité et le Single Sign-On dans une application. Lasso a passé les tests d'interopérabilité SAML 2.0 et a reçu le plus haut label de qualité de la Liberty Alliance.

Lasso implémente les protocoles ID-FF, ID-WSF et SAML 2.0 qui permettent de :
  • Sécuriser l'accès aux applications sur tous les réseaux, publics et privés ;
  • Simplifier l'accès aux applications en utilisant le Single Sign-On ;
  • Coupler les exigences d'une authentification forte avec le respect de la vie privée des usagers.
Lasso est utilisée par de grands groupes et des administrations françaises comme la Caisse des Dépôts et Consignations. Un contrat a récemment été conclu avec Cisco System Inc. afin de permettre à cet acteur de premier ordre d'embarquer Lasso dans ses appareils et de bénéficier du support d'Entr'ouvert.

Contrairement à la plupart des implémentations SAML 2.0, Lasso n'est pas une plate-forme Java/J2EE. Le travail d'intégration dans une application tierce s'en trouve largement facilité. Une application peut intégrer Lasso en quelques jours de développement sans remettre en cause son architecture.

Lasso est écrite en C. Elle fonctionne sous GNU/Linux, Windows et Unix et dispose de bindings pour les langages C, Java, Perl, PHP et Python. Elle repose sur des bibliothèques XML performantes (libxml2, XMLSec) et utilise OpenSSL qui supporte l'accélération matérielle. Cela permet à la bibliothèque de supporter des charges très importantes.

La version 2.3.3 apporte :
  • Réécriture de la bibliothèque ID-WSF 2.0 ;
  • Nouveau binding Perl ;
  • Documentations supplémentaires ;
  • Assouplissement de certaines contraintes pour gérer un plus grand nombre de cas (présence des clés publiques, besoin de signature sur certains messages) et simplification de l'usage ;
  • Utilisation de la bibliothèque de connexion standard pour le binding Python ;
  • Contrôle de signature maintenant effectué par message ;
  • Quelques nouvelles méthodes pour la construction des assertions ;
  • Gestion du UsernameToken pour les messages d'authentification SOAP ;
  • Simplification du Logout profile ;
  • Beaucoup de corrections de bugs mineurs.

À propos :
Entr'ouvert est spécialisée dans les solutions libres de E‑administration et d'identité numérique.
Elle fait partie du réseau Libre-entreprise qui regroupe des entreprises ayant des spécialités proches ou complémentaires, en particulier dans le domaine du logiciel libre. Toutes partagent les mêmes valeurs et modes de fonctionnement, basés sur la clarté et la compétence.
  • # Lasso

    Posté par . Évalué à  3 .

    Pour la gestion d'identité, on peut dire que Lasso tient la corde !

    ­La faculté de citer est un substitut commode à l'intelligence -- Somerset Maugham

  • # ------> []

    Posté par (page perso) . Évalué à  9 .

    Vivement la version 6 !
  • # Témoignage : utilisation de Lasso dans des logiciels libres

    Posté par (page perso) . Évalué à  4 .

    Je souhaitais d'abord féliciter Entr'ouvert pour le travail important fourni sur Lasso.

    J'ai eu l'occasion d'utiliser le binding Perl de Lasso lors du développement du support SAML2 dans LemonLDAP::NG. L'API est assez claire et documentée, ce qui permet une prise en main rapide. Et en cas de problèmes la réactivité sur les listes de diffusion est très bonne.

    Je voudrais tout de même nuancer cette phrase de l'article :

    Une application peut intégrer Lasso en quelques jours de développement


    Soyons honnêtes, il faut d'abord se plonger dans la norme SAML avant d'écrire la moindre ligne de code, et ça prend déjà un peu de temps.

    Ensuite, tout dépend en effet de ce qu'on veut faire. Adapter l'application pour qu'elle puisse faire du SSO avec un fournisseur d'identité SAML, c'est relativement simple. Mais ce n'est que la partie émergée de l'iceberg, car après on peut s'attaquer à la déconnexion globale (SLO), l'échange d'attributs, le supports des différents bindings, etc. Bref, il y a du travail qui peut facilement occuper une année ;)
    • [^] # Re: Témoignage : utilisation de Lasso dans des logiciels libres

      Posté par (page perso) . Évalué à  2 .

      Qu'en est-il en comparaison avec shibboleth (implé SAML2 libre) ? Je sais que l'intégration avec shibboleth peut être vraiment très très rapide (un module apache à installer, deux trois règles dans le apache.conf et ça tourne). Mais je sais que shibboleth ne fait pas l'unanimité (malgré sa popularité dans le secteur académique).

      Est-ce que la gestion d'un fournisseur d'identité est plus simple avec Lasso ? (L'integration de LDAP ou AD avec shibboleth IP est pas toujours très simple, faut aimer éditer du XML à la main ...)

      merci
      • [^] # Re: Témoignage : utilisation de Lasso dans des logiciels libres

        Posté par (page perso) . Évalué à  2 .

        En réalité, Shibboleth a évolué en version 2 pour se fondre dans le standard SAML2 (modulo il me semble la gestion des formats d'attributs).

        Il existe un module Apache basé sur Lasso qui s'appelle mod_mellon. L'intégration est donc la même qu'avec le module Apache Shibboleth.

        Il existe ensuite plusieurs façons d'intégrer une application :
        * Implémenter SAML2 directement dans l'application (en utilisant les bindings Lasso, ou d'autres bibliothèques)
        * Utiliser un mandataire qui se charge de la couche SAML2. Le module Apache rentre dans cette catégorie. On peut également citer LARPE (édité également par Entr'ouvert), et désormais LemonLDAP::NG qui compte SAML2 parmi ses modules d'authentification.
        • [^] # Re: Témoignage : utilisation de Lasso dans des logiciels libres

          Posté par . Évalué à  3 .

          Et pour la partie "fournisseur d'identité", il y a quoi? Parce que Lasso fournit les fonctions de bas niveau, mais à part Authentic (dont la dernière release commence à dater) je ne vois pas d'IdP qui s'appuie dessus.

          Ou alors c'est juste moi? Je connais assez mal le petit monde de Liberty Alliance, mais ça m'intéresse de plus en plus.
          • [^] # Re: Témoignage : utilisation de Lasso dans des logiciels libres

            Posté par . Évalué à  2 .

            Je suis le mainteneur de lasso et un de ceux d'authentic (je travaille pour Entr'ouvert).

            L'avenir c'est authentic2 que nous sommes en train d'écrire sur la base du framework Django, on doit sortir une release stable bientôt. On a déjà un support en fournisseur/consommateur OpenID terminé et le support SAMLv2 est en cours d'écriture cette semaine. Il devrait à terme s'y ajouter le support CAS.
            Pour les backend pour l'instant c'est uniquement l'ORM django, le support LDAP devrait suivre.

            En attendant si tu souhaites un IdP essaie plutôt d'utiliser le svn de authentic (svn://labs.libre-entreprise.org/svnroot/authentic) ou alors les paquets expérimentaux Debian qui ne traînent pas loin derrière les révisions du svn:

            http://deb.entrouvert.org/#lenny-experimental
            http://deb.entrouvert.org/#karmic-experimental

            Tout le support est fait sur la mailing-list authentic-devel@lists.labs.libre-entreprise.org. (https://lists.labs.libre-entreprise.org/mailman/listinfo/aut(...)

            Je sortirai certainement une version 0.8 sur la base du svn actuel pour clore le chapitre authentic ancienne version (on utilisait un vieux framework web python qui s'appelle quixote).

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.