====== SSO ======

===== Single Sign On =====

L'authentification unique (Single Sign-On ou SSO) est une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (ou sites Web sécurisés).

  * Présentation Linagora des protocoles SSO [[https://fr.slideshare.net/coudot/rmll-2011-websso|CAS, OpenID, Shibboleth, SAML : concepts, différences et exemples]] par Clément OUDOT 2011
  * [[wpfr>Authentification_unique|]], [[wp>Single_sign-on|]]
  * Sur le CRU.fr, [[http://www.cru.fr/documentation/federation/|Authentification web et fédération d'identités]] et notamment [[http://www.cru.fr/_media/documentation/federation/jres-sso.pdf|Introduction aux architectures web de Single Sign-On (novembre 2003)]]
  * [[http://www.openidenabled.com|http://www.openidenabled.com]] the home of high-quality OpenID implementations and tools maintained by JanRain, Inc.
  * [[http://lemonldap-ng.org|LemonLDAP::NG]] is a modular WebSSO (Single Sign On) based on Apache::Session modules. It simplifies the build of a protected area with a few changes in the application.
  * [[/wiki/sso|Dokuwiki Single Sign On]]
  * [[https://www.keycloak.org/|Keycloak]]
  * FusionDirectory
  * Un poc SSO Wordpress & Nextcloud [[https://framagit.org/Artefacts/wp_oauth2_client|wp_oauth2_client]]
==== Différents protocoles ====

  * [[/informatique/oauth|OAuth]]
  * [[/glossaire/cas|Central Authentication Service (CAS)]] : authentification seule
  * [[/glossaire/openid|OpenID]] : application grand public
  * [[/glossaire/saml|SAML]] : partage d'identité entre organisations

==== Les étapes ====

Authentification de l'utilisateur

  * IDP Founisseur d'identité (le serveur d'authentification)
  * SP Fournisseur de service (les applications)
  * Plusieurs identités numérique pour un utilisateur peuvent être fédérées au sein d'un cercle de confiance

Une fois l'utilisateur authentifié il faut récupérer ses habilitations

  * des rôles, groupe, attributs divers (nom, âge, tél, …)
  * RBAC Role Bases Access Control
  * XACML permet de déléguer les demandes d'habilitation à des points de décision (PDP)

Déconexion de l'utilisateur

  * Déconnexion unique SLO