IDEALX publie OpenTrust PAM

Posté par . Modéré par Nÿco.
Tags :
0
17
juin
2007
Sécurité
Développée avec la Mairie de Paris et l’INSERM, la solution OpenTrust-PAM (Portal Access Manager) d’IDEALX est désormais libre au téléchargement sous licence GPL.

OpenTrust PAM permet à un utilisateur de n'avoir à s'identifier qu'une seule fois pour accéder à toutes ses applications distantes. C'est donc un « reverse-proxy », assurant le SSO (Single Sign On), qui interagit avec les systèmes d’authentification des applications mises à disposition, grâce aux protocoles Web.

Mise en ½uvre pour la première fois à l’Inserm en 2004, la solution a été mise en production à la Mairie de Paris dans le cadre de la création d’un portail « Partenaires », destiné à multiplier les services fournis aux différentes entités liées à la ville.

Publié depuis aujourd’hui sous licence Open Source (GPL), le logiciel OpenTrust-PAM pourra ainsi être utilisé et s’enrichir par l’apport de nouvelles contributions.

Aller plus loin

  • # OpenID

    Posté par (page perso) . Évalué à 2.

    Il y a-t-il un lien avec l'intiative OpenID ? http://openid.net/

    Cordialement,
    Étienne.
    • [^] # Re: OpenID

      Posté par . Évalué à 2.

      Aucun lien. OpenID c'est un truc à la MS Passport.net, OpenTrus-PAM c'est un reverse proxy-SSO, comme il y en a d'ailleurs plein d'autres sur le marché. Entre autres:
      - Vulture (en libre aussi, http://vulture.open-source.fr)
      - JOSSO (en libre aussi, http://www.josso.org/)
      - shibboleth (qui ressemble un peu plus à OpenID)
      - SiteMinder
      -...

      Bref, rien que de très commun. Ce qui différencie ces solutions ce sont des problématiques du type:
      - passage du jeton d'authentification (en interceptant les formulaires, ou par agent)
      - le "provisioning" c'est à dire en gros la gestion des bases d'utilisateurs des applis SSO-isées
      - au niveau technique, ce que peut faire suivre le reverse proxy sans tout casser (simple HTML, JavaScript - pensez AJAX, ...)
      - les perfs et la haute dispo
      • [^] # Re: OpenID

        Posté par (page perso) . Évalué à 1.

        Shibboleth ne ressemble pas à OpenID, c'est une solution basée sur OpenSAML (OpenID ne fait pas de SAML) et ce n'est pas non plus un reverse-proxy.

        Comme reverse proxy SSO sous GPL on peut citer :

        - LemonLDAP, fortement utilisé par l'administration française : http://wiki.lemonldap.objectweb.org/xwiki/bin/view/Main/WebH(...)
        - LARPE, certifié Liberty Alliance : http://larpe.labs.libre-entreprise.org/
        • [^] # Re: OpenID

          Posté par . Évalué à 1.

          Désolé pour le raccourci.
          Shibboleth, OpenID et Liberty Alliance (et MS Passport) répondent tous à la même problématique de gestion des identités. Il peuvent être utilisés comme mécanismes SSO avec passage de relais (donc sans machine en coupure et réécriture d'URL). Fonctionnellement c'est par contre comparable, même si il y a des différences.

          Shibboleth est OpenSource (Apache) et il existe des implémentations libres de Liberty Alliance (LASSO, Authentic).

          En France, le CRU a déployé une fédération Shibboleth, tandis que la recommandation de l'état va plutôt à Liberty Alliance. Ca tombe bien, les deux s(er)ont interopérables (SAML 2).
  • # PAM

    Posté par (page perso) . Évalué à 3.

    Je n'arrive pas à avoir beaucoup d'info à partir des liens mais est-ce que vous êtes sur que le PAM n'est pas le PAM habituel sous linux ? le "pluggable authentification module" ?

    La boite a l'air de faire des modules PAM et vu l'utilisation de cette brique d'après le shéma du premier lien, je suis étonné de la définition PAM = Portal Access Manager

    Dans le cas contraire je trouve malencontreuse l'utilisation de cet acronyme pour de l'authentification.
    • [^] # Re: PAM

      Posté par . Évalué à 3.

      Rien à voir avec Pluggable Authentication Module. Et oui, l'acronyme n'est peut être pas très heureux. C'est bien Portal Access Manager.
  • # CAS

    Posté par (page perso) . Évalué à 2.

    Quels sont les inconvénients/avantages sur un service SSO basé sur un serveur CAS (souvent utilisé conjointement à un serveur LDAP)?
    • [^] # Re: CAS

      Posté par . Évalué à 1.

      Nous utilisons CAS avec des applications Java (Spring / Acegi / JSF: Struts / GWT) et on est super content. Super beau produit !

      http://about.me/straumat

  • # Génial !

    Posté par . Évalué à -3.

    Franchement, je suis bluffé : un SSO écrit en PERL, franchement, ils ne se foulent pas chez IDEALX ...
    • [^] # Re: Génial !

      Posté par . Évalué à 0.

      Parce que les résultats de tes travaux, ils sont en quoi ?
      • [^] # Re: Génial !

        Posté par . Évalué à -1.

        C'est bien ce que je pensais, c'est un encore un TFE.
    • [^] # Re: Génial !

      Posté par (page perso) . Évalué à 2.

      Comme leur PKI en Perl (tiens, qu'est devenue IDX-PKI d'ailleurs ?), ou leur Console Web pour Samba et Nagios qui devait être l'avenir de Webmin : tout en Perl.
      Il n'y a bien que leur simulateur de charge qui soit écrit en Erlang.
      • [^] # Re: Génial !...en tout cas, on espère!

        Posté par . Évalué à 1.

        "tiens, qu'est devenue IDX-PKI d'ailleurs ?)"

        Elle a disparue !

        idx-pki s'appelle désormais OpenTRUST-pki
        (http://www.opentrust.com/content/view/119/111/lang,fr/) et n'est plus téléchargeable.

        Idealx ne répond plus aux mails relatif à ce produit, la version debian n'est jamais sortie et même la version stable (redHat7.3.... n'est plus dispo; heureusement que j'en ai gardé une au chaud.. ;-) )

        Dommage, car c'était vraiment un bon produit (à l'exception de l'obligation de laisser l'AC en ligne)...

        Dites les spécialistes de la GPL, c'est valide ça ? En supposant bien sûr que aucun contributeur n'ait distribué de patche (et/ou de fonctionnalités)

        Cordialement.
        • [^] # Re: Génial !...en tout cas, on espère!

          Posté par . Évalué à 2.

          tu dois fournir les sources qu'a tes clients
          si personne a récupérer le soft, tu t'en fous

          si par contre tu as le soft qui est sous gpl (ce que tu semble avoir)
          tu peux leur envoyer un mail demandant les sources du produit.
          • [^] # Re: Génial !...en tout cas, on espère!

            Posté par . Évalué à 2.

            Vu que c'est en perl, tu as à prioris accès aux sources (quoiqu'avec perl, ca ressemble souvent à du code compilé... non non, ce n'est pas un troll ;) ). Il manque surement le système de build par contre.

            Puis, une fois distribuée au client, celui-ci peut le redistribuer à prioris
      • [^] # Re: Génial !

        Posté par . Évalué à 2.

        Le concepteur d'IDX-PKI a fait quelques trucs *kh0f* :
        http://search.cpan.org/~domq/Crypt-OpenSSL-CA-0.11/
    • [^] # Re: Génial !

      Posté par (page perso) . Évalué à 2.

      Ce serait bien d'en dire un peu plus : pourquoi ce "ils ne se foulent pas chez IDEALX" ? Hormis pour lancer un troll du genre "Perl c'est mal" et/ou "Perl ca tient pas la charge", je ne vois pas le sens de la remarque, désolé...
      • [^] # Re: Génial !

        Posté par . Évalué à 3.

        Au contraire, maintenir un truc pareil en perl, c'est un gage de talent ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.