• est libre (MIT License)
• auto-hébergé
• facile à utiliser et installer
• permet aux utilisateurs de choisir leur MFA
• propose une interface de gestion pour dépanner les utilisateurs

CF README(s) sur github ESUP

• CAS >= v5
• npm
• MongoDB

• ESUP-SMSU
• ESUP-NFC-TAG

• Global : très simple
  cas.properties
  

                        
    cas.authn.mfa.globalProviderId=mfa-esupotp
  			

• Par script groovy : simple et souple.
  cas.properties

      
    cas.authn.mfa.groovy-script.location=file:/etc/cas/config/mfaGroovyTrigger.groovy
                      

• Authentification SSO : Apereo CAS
• Shibboleth Identity Provider pour shibboleth
  (dans la fédération d'identités ESR opérée par Renater)
• shib-cas-authn pour le lien CAS / IdP
• ESUP-OTP en place

Éléments de réponses :

MFA et 2FA dans l’IdP Shibboleth, le serveur CAS d’Apereo et les Fédérations
JRES 2019 [G. Rousse & L. Auxepaules]

Approches :

• On demande le MFA au niveau du SP : théoriquement la plus élégante
• On demande le MFA au niveau de l'"IdP" : la plus pragmatique

• Profil MFA de REFEDS
• Profil d'authentifcation demandé/requis au niveau du SP
• Possibilité de propagation jusqu'à CAS via shib-cas-authn
• Mais :
  • Implémentation intrusive dans shib-cas-authn et spécifique/supplémentaire dans le module MFA CAS
  • Seule l'implémentation avec DuoSecurity est actuellement développée
  • ... de plus, peu d'IdP supporte le MFA
  • Cas d'usage aujourd'hui ?

• On active le MFA pour tous les services côté CAS
• -> on active le MFA pour le service idp.univ-ville.fr sur CAS

• CAS devient un IdP Shibboleth/SAML (org.apereo.cas:cas-server-support-saml-idp)
• Le service devient un service CAS (org.apereo.cas.support.saml.services.SamlRegisteredService)

• faire de CAS notre IdP officiel
• ou modifier/hacker le wayf + sp pour utiliser CAS comme IdP uniquement sur certains SP
• ... ou ne rien faire ???!

• On configure shib-cas-authn avec

      
    shibcas.entityIdLocation=embed
  		    

• On désactive le maintien des sessions dans l'IdP

     
    idp.session.enabled = false
  		    

• Ce qui permet d'identifier ce SP comme service CAS à part entière :

      
    {
     "@class" : "org.apereo.cas.services.RegexRegisteredService",
     "serviceId": "^http://idp\\.univ-ville\\.fr/idp/Authn/External\\?conversation=[a-z0-9]*&entityId=https://mon-sp-sensible\\.univ-ville\\.fr",
     ...
  		    

• -> on active le MFA pour ce service

Attention à bien prendre une version de shib-cas-authn
incluant le PR #3

• ESUP-OTP en production depuis septembre 2017
• Chainage de CAS, cf. Esup-days 16
• Accès VPN (facultatif)
• ~60 utilisateurs
• SMS, TOTP, Push, Codes à imprimer

• Usages actuels
• Accès VPN (obligatoire), Dossiers partagés (obligatoire), Grouper (facultatif) et bientôt Esup-signature
• ~1200 utilisateurs
• SMS (97%), TOTP (12%), Push (marginal)
• Délégation de l'activation et de la gestion du double facteur
• Gestion par l'utilisateur sur le réseau interne de l'université

• Perspectives
• Généralisation pour l'accès au webmail
• Montée en puissance du push mobile
• Projet Virtual Desktop Infrastructure (VDI)
• Généralisation pour l'accès à l'ENT ?
• Authentification sans mot de passe ?, ...?

• ESUP-OTP en production au niveau de la DSI
• proposé pour des applications critiques
  • gestion de comptes
  • gestion de groupes (grouper)
  • parapheur électronique (esup-signature)
  • gestion de cartes (esup-sgc)
  • gestion des dossiers handicap étudiants

• 6.0 depuis la rentrée 2019 - cf wiki Esup
• 6.4.0 en production depuis la rentrée 2021
• service critique très sollicité, remarquablement stable et performant
  • 1 seule VM (8 CPUs, 10 GB RAM)
  • apache, tomcat, redis ... et esup-otp, mongodb

• Modules/Fonctionnalités activés :
  • redis
  • ldap
  • json-service
  • spnego
  • trusted-mfa (-mongo)
  • throttle
  • reports (pour API sur les sessions)
  • agimus (cookie et log)
  • ... et esup-otp-cas ;-)
• Shibboleth :
  • Shibboleth IdP 4.1.4 en production (la dernière)
  • Avec shib-cas-authn pour sa "cassification"