Conception d'un portail SSO
Bonjour,
Actuellement en cours de reflexion afin de procéder à un document de conception pour la mise en oeuvre d'un portail web Single Sign On.
A la base, ce portail doit servir à donner un accès central à des services en ligne.
Certains de ces services sont déjà existants et hebergés par des sites web (un en aspx et l'autre en php).
Pour ces deux sites web j'avais déjà pensé utiliser OpenID ou OAuth, mais ces deux sites étant gérés par des prestataires je suis en attente d'une réponse technique de leur part.
Pour les applications à venir, je pensais proposer un portail qui, en plus d'atteindre les sites web externes via OpenId puisse aussi offrir la possibilité d'accueillir des portlet, afin d'étendre la possibilité d'offre applicative.
Pour ce qui est du portail SSO en lui même, j'avais pensé à un serveur CAS (Jasig) et uPortal (histoire de ne pas réinventer la roue).
Les questions qui m'amènent ici sont les suivantes :
- Pour la gestion des utilisateurs, j'hésite entre SGBD et LDAP (je sais que CAS est interfaçable avec les deux).
Mon choix s'orientera en fonction de la flexibilité, en effet, je souhaite pouvoir manipuler l'annuaire ou la base afin qu'elle accueille des informations
propres à la structure dans laquelle le portail sera intégré (identifiants openid, groupes applicatifs, notions d'héritage pour définir les rôles des utilisateurs avec certaines données qui y sont spécifiques) et je souhaiterais que, suivant les applications qui seront déployées sur le portail, certaines puissent aller interroger/nourrir cette base et qu'elle se rapproche le plus possible d'un référentiel unique.
Serait-il possible d'avoir un annuaire LDAP ne servant qu'à l'authentification des personnes et que cet annuaire fasse aussi l'authentification à la base de données (au cours de mes recherche, j'ai cru comprendre que LDAP est très rapide en lecture, mais lent en écriture et qu'un SGBD est rapide en écriture), cela vous paraît-il une bonne approche pour avoir une authentification rapide et un référentiel accessible pour les applications ?
Une des idées autour du référentiel est aussi de mettre en place une gestion de profil utilisateur générique, qui servirait de prérequis à la gestion des droits d'accès de la plupart des applications à venir, et des gestion de droits exceptionnelles, au cas par cas ou par création de groupes applicatifs.
Si la gestion LDAP/SGBD est possible, cela serait-il judicieux d'utiliser le LDAP pour les profils génériques étant donné que ceux-ci, (après étude de l'environnement dans lequel il va se déployer), peuvent être conditionnés par l'emplacement du CN dans l'arborescence LDAP, et que le SGBD soit utilisé pour les gestion de droits et groupes spécifiques et de données applicatives.
Etant donné que uPortal possède une connexion à un SGBD, est-il judicieux de déporter toute la partie SGBD que je voyait en place avec CAS vers la SGBD du uPortal.
Dernière question : un annuaire LDAP peut il contenir des informations relatives à une connexion Openid ou OAuth?
En vous remerciant d'avance,
Cordialement.
Répondre avec citation
Partager