Conçu pour répondre aux besoins des communautés de l’enseignement supérieur vis-à-vis de la fédération de leur(s) identité(s), Shibboleth facilite, pour un ensemble de partenaires, la mise en place de la délégation d’authentification et de la propagation d’attributs.

Cette section vise à illustrer succinctement les différents composants techniques du système Shibboleth et leur(s) interaction(s) de façon à proposer les deux fonctionnalités précédentes dans le contexte de l’accès à une ressource Web.

Remarque importante :

La description des divers composants ainsi que les interactions entre ces derniers reflètent la compréhension courante des auteurs du présent document du système ainsi mise à disposition par le projet Shibboleth de l’Internet2. Le document Shibboleth architecture, technical overview disponible à l’adresse http://shibboleth.internet2.edu/docs/draft-mace-shibboleth-tech-overview-latest.pdf offre une description du système et précise la terminologie propre au projet Shibbleth. Pour une communauté francophone, nous vous invitons à consulter les différents ressources mises à disposition par la Fédération Education-Recherche pour la planification et la mise en œuvre du système Shibboleth dans votre environnement. Ces ressources sont disponibles à l’adresse Internet https://federation.renater.fr/. En première approche, vous pouvez consulter notamment le document Fédération d’identités et propagation d’attributs avec Shibboleth.

Les 3 principaux composants techniques du système Shibboleth en tant que tel au sein d’un espace fédéré sont les suivants:

Fournisseur de services (Service Provider en anglais ou SP en abrégé): le fournisseur de services, ou plus simplement SP comme dénommé dans le suite de ce document, met à disposition (ou non) des ressources Web en fonction d’attributs utilisateur dignes de confiance sur la base desquels est déduit le contrôle d’accès afférent; Service WAYF (pour Where Are You From? en anglais) : le service WAYF constitue un service optionel permettant de rediriger un utilisateur vers le domaine de sécurité où son identité est déclarée au travers d’un compte, et plus particulièrement vers le fournisseur d’identités de ce domaine de sécurité; Fournisseur d’identités (Identity Provider en anglais ou IdP en abrégé): le fournisseur d’identités, ou plus simplement IdP comme dénommé dans la suite de ce document, a en charge l’authentification des utilisateurs et la fourniture d’attributs sur cette base.

D’un point de vue architecture/découpage logique, un SP est constitué des 3 éléments suivants:

Service consommateur d’assertions (Assertion Consumer Service en anglais): cet élément agit comme un filtre Web et assure pour un utilisateur non authentifié la redirection vers l’IdP (au travers le cas échéant d’une redirection et d’une interaction avec le service WAYF si mis en oeuvre1) de façon à ce que dernier s’authentifie. Une fois ce dernier authentifié, ce service reçoit, dans le cadre du déroulement du protocole et des redirections afférentes un artefact utilisateur, en l’occurence le «handle» nameIdentifier. L’artefact est transmis au demandeur d’attributs;

Note :

Pour une platforme cible de type Microsoft Internet Information Server (IIS en abrégé), le composant technique SP Shibboleth 2.x implémente ce service sous forme d’un filtre ISAPI (isapi_shib.dll).

Demandeur d’attributs (Attribute Requester en anglais): sur la base de l’artefact utilisateur (nameIdentifier), cet élément est chargé de récupérer auprès de l’IdP les attributs de l’utilisateur pour la requête courante. Les différents attributs récupérés sont transmis à un «contrôleur d’accès» qui assure de façon effective la fonction de contrôle d’accès vis-à-vis de la ressource application accédée;

Note :

Pour une platforme cible de type Microsoft Internet Information Server (IIS en abrégé), le composant technique SP Shibboleth 2.x implémente cet élément sous forme d’un démon (shibd).

«Contrôleur d’accès»: cet élément à la charge d’assurer, comme son nom l’indique, le contrôle d’accès à la ressource applicative et donc d’autoriser ou non l’accès à ladite ressource.