1. Introduction
   • Avantages et Limites du SSO
   • Authentification Multi-facteurs (MFA)
   • One Time Password (OTP)
2. ESUP-OTP
   • Besoins et Objectifs
   • Architecture générale et fonctionnement
3. Mise en oeuvre du MFA avec CAS et ESUP-OTP
   • CAS V4 ou inférieur
   • CAS V5
4. Conclusion et Perspectives

• Les avantages
  • Meilleure ergonomie
    • diminuer le nombre de mots de passe à retenir
    • diminuer le nombre d'interfaces d'authentification à connaître
  • Meilleure sécurité
    • Moindre surface d’exposition des mots de passe.
    • Meilleure maitrise de la politique de gestion des mots de passe (chiffrement, longueur, jeu de caractères, recouvrement, renouvellement, ...)
• Inconvénient majeur
  • Risques liés à la centralisation des accès

Authentification renforcée par un ou plusieurs facteurs supplémentaires

• En plus du mot de passe (ce que je sais) :
  • ce que je possède (carte, application smartphone,...)
  • où je suis (géolocalisation)
  • ce que je suis (biométrie)

Mot de passe valide qu'une seule fois ou pendant une courte période

• Plusieurs algorithmes existent :
  • HMAC-based One-time Password (HOTP)
    • RFC 4226
  • Time-based One-time Password (TOTP)
    • RFC 6238
  • Algorithmes basés sur un nombre généré aléatoirement côté serveur

• Besoins :
  • Renforcée l'authentification pour l'accès à certains services critiques
    • Saisie des notes (par le web)
    • GED (Documents confidentiels)
    • WebVPN
  • CAS n'intègre le MFA qu'en version 5
  • Les solutions MFA sont payantes et hébergées
• Objectifs :
  • Service externe à CAS le + générique possible
    • Compatible en version 4 puis en 5
    • Ajout de méthodes/transports
    • Utilisable par d'autres services

• Pré-requis :
  • Installation des projets Esup-Otp-Api et Esup-Otp-Manager
• Installation du projet Esup-Otp-Cas (Maven overlay du serveur CAS) comprenant :
  • les Handlers d’authentification utilisant l’api
  • le formulaire de connexion modifié
    • vues (JSP)
    • comportement (Javascript)
  • Documentation sur GitHub
• Chaîné le CAS actuel avec Esup-Otp-Cas

• Pré-requis :
  • Installation des projets Esup-Otp-Api et Esup-Otp-Manager
• Dans CAS version 5:
  • Ajout de la dépendance Maven du module MFA-ESUPOTP(MFA Provider modifié) comprenant :
    • vues (Thymeleaf)
    • comportement (webflow.xml)
  • Définir les services utilisant le MFA Provider MFA-ESUPOTP
  • Documentation sur GitHub

• ESUP OTP permet de :
  • gérer les mots de passe à usage unique
  • fournir du MFA
• Et cela :
  • de manière générique (ajout de méthodes/transports)
  • pour n’importe quel serveur

Première utilisation envisagée par l’Université Paris 1 pour renforcer l’authentification au WebVPN

Utiliser ESUP-OTP comme alternative au système de base (login+mot de passe)

• Dépôts Github des projets :
  
  • Esup-Otp-Api
    
  • Esup-Otp-Manager
    
  • Esup-Otp-Cas v4
    
  • Esup-Otp-Cas v5
    
    
• Démonstrateur ici
  
• Documentation CAS v5 ici