Présentation ESUP-OTP

Avant propos

Auteurs :
- Alex Bouskine (Université de La Rochelle)
- Aymar Anli (Université Paris 1 Panthéon-Sorbonne)
Présentations :
- ESUP-DAYS 22 à Paris | sept. 2016
- JRES 2017 à Nantes
Très récemment :
- Open Apereo'21 en ligne | juin 2021
  Mathilde Guérin (Université de La Rochelle)
Bientôt :
- ESUP-Days #32 à Paris | 28 oct. 2021
- JRES 2021 2022 à Marseille | 17 au 20 mai 2022

Plan

Démo
Objectifs
Architecture logicielle
MFA disponibles
Installation
Intégration dans CAS
MFA sur un service Shibboleth

Démo !

Avec un CAS 6.4.0-RC5

ESUP-OTP-MANAGER

Notification via ESUP-AUTH

OTP avec Google Authenticator

SMS avec ESUP-SMSU

Badgeage de carte avec ESUP-NFC-TAG

CAS MFA Trusted

MFA disponibles sur Apereo CAS

Depuis CAS v5, un certain nombre de MFA disponibles ...

Duo Security
Twilio Authy
Acceptto
YubiKey
WiKID

FIDO
Swivel Secure
Google Authenticator
...

Problème, la plupart :

ne sont pas libres 😩
sont chers 😢
et non auto-hébergés 😫

Objectifs

ESUP-OTP

est libre (MIT License)
auto-hébergé
facile à utiliser et installer
permet aux utilisateurs de choisir leur MFA
propose une interface de gestion pour dépanner les utilisateurs

ESUP OTP

Architecture logicielle

Express

ESUP OTP MANAGER

CASsified web application User preferences User help/assistance Administration UI

ESUP OTP API

REST API Code generation methods Code transports

ESUP OTP CAS

CAS module

code côté CAS réduit

ESUP OTP

Architecture logicielle

Application mobile ESUP AUTH

Disponible sur Google Play Store Bientôt disponible sur le App Store (en phase de qualification)

ESUP OTP

Architecture logicielle

Applications ESUP-SMSU Optionnel

Possibilité d'utiliser différents fournisseurs de SMS cf le wiki esup-smsu. Nécessite la "suite" esup-smsu → projet complet à appréhender Atttention : coût par SMS

ESUP OTP

Architecture logicielle

Applications ESUP-NFC Optionnel ;-)

Disponible sur Google Play Store Possibilité d'utiliser un lecteur NFC USB voire un Arduino, cf le wiki esup-nfc-tag. Nécessite la "suite" esup-nfc-tag-server → projet complet à appréhender

ESUP OTP

Les différents MFA disponibles

SMS/Mail

TOTP w/ Google Auth

Codes à imprimer

Notification mobile

Badgeage NFC

ESUP OTP CAS

[IRL] Look sur un CAS 6.3.3

En attente de validation mobile : notification ou badgeage NFC

... ou entrée d'un code
généré/reçu via Google-Auth, SMS, mail

ESUP OTP MANAGER

Notifications: enrôlement de l'appareil

ESUP-OTP enrôlement avec le QR-Code

ESUP OTP MANAGER

Codes à imprimer

ESUP-OTP codes de secours

ESUP OTP MANAGER

Interface d'assistance / dépannage pour le gestionnaire

ESUP-OTP Manager Interface

ESUP OTP MANAGER

Interface d'administration

Permet d'activer/désactiver les possibilités de MFA proposées par ESUP-OTP
... les SMS peuvent coûter chers !

Installation

Prérequis

CF README(s) sur github ESUP

CAS >= v5
npm
MongoDB

Optionnel :

ESUP-SMSU
ESUP-NFC-TAG

Installation

ESUP-OTP-API

    
    git clone https://github.com/EsupPortail/esup-otp-api.git
    npm install
    # change the fields values in properties/esup.json
    npm start

Installation

ESUP-OTP-MANAGER

    
    git clone https://github.com/EsupPortail/esup-otp-manager.git
    npm install
    # change the fields values in properties/esup.json
    npm start

Installation

ESUP-OTP-CAS

Dans cas/build.gradle (CAS overlay)

    
    ...
    repositories {
      ...
      maven {
          url "https://jitpack.io"
      }
    }
    ...

    dependencies {
        ...
        implementation "com.github.EsupPortail:esup-otp-cas:3f5de8b7b2"
    }

Regarder https://jitpack.io/#EsupPortail/esup-otp-cas pour récupérer un build compatible avec votre CAS

Installation

ESUP-OTP-CAS

Dans /etc/cas/config/esupotp.properties

    
  esupotp.rank=0
  esupotp.urlApi=https://esup-otp-api.univ-ville.fr
  esupotp.usersSecret=changeit
  esupotp.apiPassword=changeit
  esupotp.byPassIfNoEsupOtpMethodIsActive=true
  esupotp.trustedDeviceEnabled=true
  esupotp.isDeviceRegistrationRequired=false

Installation

Configurations systeme

Configurations systeme usuelles : systemd, logs, proxy_pass ...

    
        ...
	After=network.target

	[Service]
	Type=simple
	User=tomcat
	WorkingDirectory=/opt/esup-otp-api
	ExecStart=/bin/npm start
	...

    
        ...
        ServerName esup-otp-manager.univ-ville.fr
	...

	RequestHeader set X-Forwarded-Proto https
	RequestHeader set X-Forwarded-Port 443

	RewriteEngine On

	RewriteCond %{QUERY_STRING} transport=websocket [NC]
	RewriteRule /(.*) ws://127.0.0.1:4000/$1 [P]
 

	<Location />
	  ProxyPass http://127.0.0.1:4000/ retry=1
	  ProxyPassReverse http://127.0.0.1:4000/
        </Location>

...

Intégration dans CAS

Activation du MFA

Plusieurs options.

Global : très simple
cas.properties

                      
  cas.authn.mfa.globalProviderId=mfa-esupotp

Par script groovy : simple et souple.
cas.properties

    
  cas.authn.mfa.groovy-script.location=file:/etc/cas/config/mfaGroovyTrigger.groovy

...

Intégration dans CAS

Activation du MFA

Script groovy :

    
   
  import java.util.*
  import groovy.transform.CompileStatic

  class SampleGroovyEventResolver {

    def String run(final Object... args) {
        def service = args[0]
        def registeredService = args[1]
        def authentication = args[2]
	def httpRequest = args[3]
        def logger = args[4]

	def mobile = authentication.principal.attributes.mobile
	def memberOf = authentication.principal.attributes.memberOf

	logger.info("ip : [{}]", httpRequest.getRemoteAddr())
	logger.info("mobile : [{}]", mobile)
	logger.info("memberOf : [{}]", memberOf)
	logger.warn("registeredService.id : [{}]", registeredService.id)

	// 10, 11, 12 et 13 sont des ids de services (définis par exemple dans la config CAS via du json)
        if ((int)registeredService.id in [10, 11, 12, 13]) && !httpRequest.getRemoteAddr().startsWith("192.168.")) {
	   return "mfa-esupotp"
        } 

	return null
    }
}

Intégration dans CAS

Trusted MFA

-> exemple : mémoriser les clients de confiance :

Dans cas/build.gradle (CAS overlay)

    
    dependencies {
        ...
        implementation "org.apereo.cas:cas-server-support-trusted-mfa:${casServerVersion}"
        implementation "org.apereo.cas:cas-server-support-trusted-mfa-mongo:${casServerVersion}"
    }

cas.properties :

    
  cas.authn.mfa.trusted.mongo.clientUri=mongodb://localhost/cas-mongo-database
  cas.authn.mfa.trusted.deviceRegistrationEnabled=true
  cas.authn.mfa.trusted.expiration=7
  cas.authn.mfa.trusted.timeUnit=DAYS

MFA sur une ressource shibbolethisée

Contexte

Authentification SSO : Apereo CAS
Shibboleth Identity Provider pour shibboleth
(dans la fédération d'identités ESR opérée par Renater)
shib-cas-authn pour le lien CAS / IdP
ESUP-OTP en place

Comment requérir une authentification forte sur un service shibbolethisé ?

MFA sur une ressource shibbolethisée

Solutions

Éléments de réponses :

MFA et 2FA dans l’IdP Shibboleth, le serveur CAS d’Apereo et les Fédérations
JRES 2019 [G. Rousse & L. Auxepaules]

Approches :

On demande le MFA au niveau du SP
On demande le MFA au niveau de l'"IdP"

MFA sur une ressource shibbolethisée

Solution 1 : on demande le MFA au niveau du SP

Profil MFA de REFEDS
Profil d'authentifcation demandé/requis au niveau du SP
Possibilité de propagation jusqu'à CAS via shib-cas-authn
Mais :
- Implémentation intrusive dans shib-cas-authn et dans le module MFA CAS
- Seule l'implémentation avec DuoSecurity est actuellement proposée
- ... évidemment peu d'IdP supporte le MFA
- Cas d'usage aujourd'hui ?

MFA sur une ressource shibbolethisée

Solution 2 : on demande le MFA au niveau de l'"IdP"

On active le MFA pour tous les services côté CAS
-> on active le MFA pour le service idp.univ-ville.fr sur CAS

MFA sur une ressource shibbolethisée

Solution 3 : on demande le MFA au niveau de l'"IdP"

CAS devient un IdP Shibboleth/SAML (org.apereo.cas:cas-server-support-saml-idp)
Le service devient un service CAS (org.apereo.cas.support.saml.services.SamlRegisteredService)

Pour intégrer cela, on peut alors :

faire de CAS notre IdP officiel
ou modifier/hacker le wayf + sp pour utiliser CAS comme IdP uniquement sur certains SP
... ou ne rien faire ???!

MFA sur une ressource shibbolethisée

Solution 4 : on demande le MFA au niveau de l'"IdP"

La solution la plus simple et a priori la plus pertinente

On configure shib-cas-authn avec

    
  shibcas.entityIdLocation=embed

Ce qui permet d'identifier ce SP comme service CAS à part entière :

    
  {
   "@class" : "org.apereo.cas.services.RegexRegisteredService",
   "serviceId": "^http://idp\\.univ-ville\\.fr/idp/Authn/External\\?conversation=[a-z0-9]*&entityId=https://mon-sp-sensible\\.univ-ville\\.fr",
   ...

-> on active le MFA pour ce service

Attention à bien prendre une version de shib-cas-authn
incluant le PR #3

Et voilà!

Auteurs et contributeurs

Alex Bouskine
Mouhamed Bassirou Deme
Aymar Anli
Francis Le Coq
Vincent Bonamy
and others !

ESUP-OTP est sur le github ESUP ! :
https://github.com/search?q=org%3AEsupPortail+esup-otp

Du MFA dans CAS avec ESUP-OTP

GT ESUP Auth - 6 juillet 2021

Depuis CAS v5, un certain nombre de MFA disponibles ...

Problème, la plupart :

Éléments de réponses :

Approches :