Que nous réserve la LDAPCon 2017 ?

La LDAPCon est une conférence internationale autour de la technologie LDAP et des enjeux de gestion des identités, d’authentification et d’habilitation.

L’événement qui se déroulera cette année à Bruxelles du 19 au 20 octobre, se tient tous les deux ans dans un pays différent :

Savoir-faire Linux, déjà commanditaire en 2015 (consultez notre retour sur cette édition) renouvelle avec plaisir son soutien à cette communauté en étant une nouvelle fois partenaire de l’édition 2017.

2 jours et 19 conférences, un programme riche et rythmé

Le programme de cette édition promet des interventions intéressantes, parmi lesquelles :

  • ReOpenLDAP : Modification d’OpenLDAP pour une utilisation intensive chez un opérateur de télécommunications
  • OpenLDAP pour Samba 4 : Point sur l’intégration d’OpenLDAP dans Samba 4 en lieu et place de l’annuaire natif codé par l’équipe Samba
  • PHP-LDAP : Des nouvelles de l’évolution de l’API LDAP dans PHP, délaissée depuis plusieurs années et que les développements reprennent
  • OpenLDAP : Des nouvelles du projet OpenLDAP par Howard Chu, le développeur principal

Les sujets afférents à LDAP comme la gestion des identités dans le Cloud, les habilitations/autorisations, l’authentification unique ou encore la supervision seront abordés dans les différentes présentations.

Savoir-faire Linux fera le point sur les différents protocoles de SSO (CAS, SAML et OpenID Connect) dans une intervention donnée vendredi après-midi, juste avant la présentation du logiciel FusionDirectory, le logiciel d’administration des données d’un annuaire LDAP, utilisé dans notre infrastructure interne et chez certains de nos clients.

Si cette conférence vous intéresse, vous pouvez réserver vos billets en ligne sur le site de la conférence.

Savoir-faire Linux France poursuit sa croissance et s’installe dans de nouveaux locaux

Paris, le mardi 18 octobre 2016 – Pour diffusion immédiate

Créée en octobre 2014, Savoir-faire Linux France s’installe dans de nouveaux bureaux pour accueillir ses collaborateurs, de plus en plus nombreux. Ce déménagement s’inscrit dans un plan stratégique de développement, établi sur 3 ans (2017-2020), dont l’objectif est d’accompagner la croissance de l’entreprise et d’ajuster son offre aux besoins du marché.

Installée depuis son ouverture dans les locaux de Normation, la filiale française affiche un chiffre d’affaires en constante évolution (près de 100 % par an). Les consultants ont notamment mené des projets d’envergure pour le compte de clients comme Paris Dauphine, l’Organisation Internationale de la Francophonie (OIF), Air Corsica, Red Hat, Orange, Radio France…

Forte de son succès, la société déménage au 137 boulevard Magenta, dans le 10ème arrondissement de Paris, dans les locaux d’inno3, un cabinet de conseil français et indépendant en innovation ouverte.

Outre le fait de disposer d’une surface plus vaste pour accueillir les équipes actuelles, ces nouveaux bureaux permettent d’appréhender l’évolution de la structure et offrent la possibilité d’accueillir clients, prospects et partenaires en toute convivialité.

Ce sera aussi l’opportunité d’organiser des formations d’expertise, ainsi que divers événements (séminaires, workshop,…) dans des conditions optimales.

Relier son application à FranceConnect avec le logiciel libre LemonLDAP::NG

Développé depuis 2014 sous l’égide de la DINSIC, FranceConnect est la nouvelle plate-forme d’authentification à destination des citoyens français pour simplifier l’accès à l’administration en ligne.

Annoncé officiellement il y a quelques jours par le secrétaire d’État chargé de la réforme de l’État et de la simplification, FranceConnect est déjà utilisé par de nombreuses administrations.

Le protocole OpenID Connect

C’est le protocole OpenID Connect qui a été retenu pour FranceConnect, choix risqué en 2014 car le standard n’en était qu’à ses débuts, mais il a depuis fait ses preuves, comme en témoigne son adoption par Google.

J’ai eu l’occasion de présenter ce protocole dans différentes conférences, comme à la LDAPCon en novembre dernier :

LDAPCon2015_OpenIDConnect-Diapos

L’avantage d’avoir opté pour un standard comme OpenID Connect, c’est que cela permet d’utiliser n’importe quel logiciel ayant implémenté ce standard pour se relier à FranceConnect.

lemonldap-ng-france-connect

Depuis la version 1.9 de LemonLDAP::NG, on peut utiliser OpenID Connect, soit comme client (Relying Party), soit comme fournisseur (OpenID Provider).  Une application compatible avec LemonLDAP::NG peut donc alors très facilement récupérer une identité via FranceConnect sans développement supplémentaire !

Configuration de LemonLDAP::NG

Nous allons configurer LemonLDAP::NG comme client OpenID Connect. Pour cela il faut tout d’abord paramétrer le service OpenID Connect :

  • Gérer les règle de redirections (Apache ou Nginx) pour le chemin /oauth2/
  • Choisir « OpenID Connect » comme module d’authentification
  • Définir l’identifiant de l’entité (par défaut l’URL du portail)
  • Laisser les valeurs par défaut pour les points d’accès OAuth2
  • La configuration d’une clé de signature n’est pas nécessaire

Il reste ensuite à inscrire FranceConnect comme fournisseur OpenID Connect :

  • Créer les métadonnées JSON (non fournies par FranceConnect), par exemple (valeurs de la plate-forme de développement) :
{
"issuer": "https://fcp.integ01.dev-franceconnect.fr",
"authorization_endpoint": "https://fcp.integ01.dev-franceconnect.fr/api/v1/authorize",
"token_endpoint": "https://fcp.integ01.dev-franceconnect.fr/api/v1/token",
"userinfo_endpoint": "https://fcp.integ01.dev-franceconnect.fr/api/v1/userinfo",
"end_session_endpoint":"https://fcp.integ01.dev-franceconnect.fr/api/v1/logout"
}
  • Déclarer les attributs de l’identité pivot à collecter, par exemple : given_name, family_name, birthdate
  • Dans les options, renseigner le client_id et client_secret fourni par FranceConnect (voir l’étape suivante), et le scope lié aux attributs demandés, par exemple : openid email profile birth

Enregistrement auprès de FranceConnect

Pour que votre instance de LemonLDAP::NG puisse être reliée à FranceConnect, il faut formuler une demande officielle via ce formulaire.

Il est important de fournir l’URL de callback, qui par défaut dans LemonLDAP::NG est http://auth.example.com/?openidcallback=1. Mais vous devrez adapter cette URL avec votre propre nom de domaine, et si besoin d’autres paramètres en fonction des modules utilisés dans LemonLDAP::NG.

FranceConnect vous fournira alors les valeurs de client_id et client_secret dont vous avez besoin dans la configuration de LemonLDAP::NG.

C’est terminé !

LemonLDAP::NG est désormais configuré pour s’authentifier sur FranceConnect. Si certaines choses ne fonctionnent pas, référez-vous à la documentation technique disponible sur le site.

Les attributs collectés lors de l’authentification sont disponibles dans la session SSO et peuvent être transmis par LemonLDAP::NG aux applications de différentes façons : en-têtes HTTP, CAS, OpenID Connect ou SAML.

À vous de jouer !

Découverte d’OpenStack à l’OpenStack Workshop Lyon

La communauté OpenStack FR a organisé le 15 juin 2016 une journée sur Lyon dédié à OpenStack : OpenStack Workshop Lyon (ou OWL pour les intimes).

OpenStack FR

J’ai participé à cet atelier pour découvrir un peu mieux OpenStack et rencontrer les membres influents de sa communauté en France.

La journée est introduite par Adrien Cunin de chez Osones qui présente les différents ateliers de la journée : introduction à OpenStack, déploiement, contribution.

20160615_094813 Pour ma part, bien qu’ayant déjà touché à OpenStack, je choisi l’atelier introduction animé par Christophe Sauthier d’Objectif Libre.

20160615_110128

Après une présentation théorique d’OpenStack et de ses différents composants, nous passons à la pratique en utilisant un compte OVH (qui dispose de sa propre offre OpenStack).

Notre première étape est le démarrage d’une instance basée sur une image fournie par Christophe, image qui n’est autre qu’une installation d’OpenStack : nous voici alors avec un serveur OpenStack maison installé sur une instance OpenStack d’OVH (qui a dit Inception ?).

Grâce à ce serveur, nous pouvons découvrir les outils d’administration d’OpenStack et dans un « tenant » de démonstration créer nos premières instances. Toujours via l’interface d’administration (module horizon) nous paramétrons le réseau, les règles de sécurité, les clés SSH, etc. Nous obtenons rapidement un environnement fonctionnel.

Le reste de la journée est consacré à quelques détails sur les différents modules :

  • neutron pour la partie réseau
  • cinder pour la gestion des volumes
  • swift pour le stockage objet
  • heat pour l’orchestration
  • et bien entendu nova pour le déploiement des instances

Nous apprenons à nous servir de la ligne de commande (et par un hasard fortuit également comment analyser les messages d’erreur d’OpenStack). On conclut cette journée en déployant une instance avec la ligne de commande nova, ce qui nous laisse entrevoir toutes les possibilités d’automatisation de déploiement, mais cela sera pour un prochain atelier.

Un grand merci aux organisateurs et aux sponsors qui ont permis la tenue de cet événement :

sponsorfinal2

Retour sur LDAPCon 2015 et les nouveautés de OpenLDAP 2.5

Le 11 novembre 2015, un groupe de passionnés se retrouvait à Édimbourg en Écosse, pour la 5ème édition de la LDAPCon. Cette conférence internationale bisannuelle sur LDAP, et plus largement sur les questions de gestion des identités, d’authentification et d’habilitation, est l’occasion de rencontrer les acteurs les plus importants du domaine. Développeurs de serveurs d’annuaires et d’outils de gestion, intégrateurs reconnus et utilisateurs avancés ont partagé beaucoup d’informations en deux jours, faisant ainsi le point sur l’activité de la communauté et permettant de s’assurer que celle-ci est bien vivante!

LDAPCon2015

Pour ma part, j’y étais d’abord et avant tout en qualité de membre des communautés LemonLDAP::NG, LDAP Tool Box et LDAP Synchronization Connector. J’ai ainsi eu la chance de donner une conférence sur le protocole OpenID Connect. Je représentais aussi pour la première fois Savoir-faire Linux, l’un des commanditaires de l’événement, dont les badges « I LDAP » ont été très appréciés. 😉

ldapcon_2015_badges

Conférence d’ouverture : LDAP en 2020 ?

L’ouverture des conférences a été faite par David Goodman, une personnalité du domaine puisqu’il a travaillé depuis les années 1990 sur X.500 puis LDAP, au sein d’organisations comme IBM, Nokia ou encore Ericsson.

ldapcon_2015_david_goodmanDavid a rebondi sur la conférence donnée par Ludovic Poitou en 2011 dont le titre provocateur était: « Is LDAP dead? » Deux ans plus tard, nous constatons bien qu’il n’en est rien et David tente d’imaginer ce qu’il en sera en 2020.

Pour cela, il retrace l’historique du protocole en partant de X.500, qu’il a contribué à faire connaître à travers PARADISE (Piloting A ReseArchers’DIrectory Service for Europe), un projet destiné aux opérateurs de télécommunications afin de prouver que ce protocole était viable. Mais confrontés à la complexité de X.500 et à des problématiques d’intégration avec les clients Mac et Windows, les concepteurs de X.500 ont imaginé LDAP, d’abord passerelle vers X.500 puis standard indépendant. Netscape annoncera finalement le support de LDAP en 1996. L’année suivante, LDAPv3 sortait et X.500 était considéré comme mort.

Qu’en est-il donc aujourd’hui? Les grands acteurs (Oracle, IBM, CA, Microsoft, pour ne citer qu’eux) proposent tous des solutions basées sur LDAP. Toutefois la révolution infonuagique semble laisser ce standard de côté. Azure AD, par exemple, n’offre pas d’accès via LDAP. On constate également que les développeurs sont désormais plus friands d’API XML ou JSON que de LDAP natif. Ne parlons pas non plus du succès des bases NoSQL.

Alors quel avenir pour LDAP? Encore considérablement implanté dans l’écosystème actuel, ce standard ne sera sans doute pas oublié dans cinq ans. Mais pour ne pas qu’il rejoigne les technologies obsolètes, il faut qu’il s’adapte aux nouveaux besoins: infonuagique, performance, outils de développement, cohabitation avec d’autres standards (SCIM, par exemple).

Le protocole OpenID Connect

Il était difficile de démarrer cet événement sur LDAP en parlant d’un tout autre protocole, mais le choix de la programmation en fut ainsi. J’ai donc pu présenter rapidement le standard OAuth 2 avant de parler d’OpenID Connect, protocole basé sur OAuth 2 et JOSE, la couche de sécurité de javascript (signature et chiffrement de données JSON).

LDAPCon2015_OpenIDConnectComparé à SAML, OpenID Connect incarne la nouvelle génération: utilisation de REST, gestion d’un mode déconnecté, adaptation aux applications mobiles, etc.

J’ai pu constater que malgré sa jeunesse (il n’a été standardisé qu’en 2014), ce protocole est déjà bien connu et suscite l’intérêt des grands acteurs comme des communautés qui, soit l’ont déjà intégré à leur produit, soit prévoient de le faire au cours des prochains mois. C’est d’ailleurs le cas de LemonLDAP::NG, dont la version 2.0 offrira le support d’OpenID Connect.

Les autres conférences

Les conférences données pendant ces deux jours ont été passionnantes et il serait difficile de toutes les résumer dans cet article. Si cela vous intéresse, les présentations sont disponibles sur le site web de LDAPCon 2015.