TOOLinux

Le journal du Libre

Sortie de LemonLDAP::NG 1.1

lundi 25 juillet 2011

LemonLDAP::NG est un logiciel de Web-SSO destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s’authentifier qu’une seule fois (Single Sign-On) et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d’accès aux applications. LemonLDAP::NG supporte désormais de nombreux protocoles d’authentification et de fédération d’identités comme CAS, OpenID ou SAML 2.0.

La version 1.1 apporte un certain nombre de nouveautés présentées ci-dessous.

Gestion des notifications

Une notification est un message affiché à l’utilisateur lors de son accès au portail d’authentification (accès obligatoire pour la création de sa session SSO). Une notification peut contenir des cases à cocher, qui devront alors être activées par l’utilisateur pour poursuivre.

Ce système permet par exemple d’avertir un utilisateur sur la modification de ses habilitations, ou sur l’ajout ou la suppression d’une application dans le portail.

Les notifications existent dans LemonLDAP::NG depuis la version 0.9.4, mais le paramétrage de cette fonctionnalité était complexe. Depuis la version 1.1, le Manager (interface d’administration de la solution) possède désormais un explorateur qui permet de créer et parcourir les notifications.

De plus, les notifications peuvent désormais :

  • S’adresser à tous les utilisateurs (auparavant, une notification était enregistrée pour un utilisateur précis)
  • Posséder une condition d’affichage (ce qui permet par exemple d’afficher une notification pour des utilisateurs provenant d’un certain réseau, ou possédant certains attributs)

Pour plus d’informations, vous pouvez consulter la documentation en ligne.

Réinitialisation du mot de passe par mail

Lorsqu’un utilisateur a perdu son mot de passe, LemonLDAP::NG propose une page où il peut réinitialiser son mot de passe par mail. Il n’est bien entendu pas question de lui transmettre son mot de passe actuel, mais bien de lui permettre d’en changer via un challenge par mail. Cette méthode est inefficace si le mot de passe du WebSSO est le même que le mot de passe de sa messagerie, mais dans les autres cas, elle permet d’alléger considérablement les appels au support.

La cinématique est la suivante :

  • L’utilisateur fait une demande de réinitialisation en entrant son identifiant (ou tout attribut permettant de l’identifier de manière unique, comme son mail)
  • Un mail est envoyée avec un lien, dont la validité est configurable (par défaut 24 heures)
  • Le lien mène à une page permettant de saisir un nouveau mot de passe, ou de demander sa génération automatique
  • Le nouveau mot de passe est envoyé par mail

Pour plus d’informations, vous pouvez consulter la documentation en ligne.

Authentification par Yubikey

La Yubikey est un périphérique physique permettant de faire de l’authentification avec mot de passe à usage unique (One Time Password, OTP).

LemonLDAP::NG permet désormais d’utiliser ce périphérique pour ouvrir une session SSO. Les attributs de l’utilisateur peuvent être ensuite récupéré en associant l’identifiant de la clé à l’identifiant de l’utilisateur dans la base des comptes (LDAP ou SQL).

Pour plus d’informations, vous pouvez consulter la documentation en ligne.

Personnalisation

La personnalisation du produit est facilitée dans la dernière version, en particulier :

  • Les messages d’erreurs peuvent être surchargés dans le fichier INI
  • Les thèmes possèdent désormais des modèles HTML "custom" inclus dans les modèles par défaut

Pour plus d’informations, vous pouvez consulter la documentation en ligne.

Clément OUDOT