Skip to content

Changes

Page history
Finish converting to Markdown formatting authored by Etienne Dysli Metref's avatar Etienne Dysli Metref
Hide whitespace changes
Inline Side-by-side
toolbox_archive.md
View page @ f7919875
...@@ -18,7 +18,7 @@ Test accounts for use on [mfa-dev](https://mfa-dev.ed.switch.ch/index.html) ...@@ -18,7 +18,7 @@ Test accounts for use on [mfa-dev](https://mfa-dev.ed.switch.ch/index.html)
| ''student1'' | ''password1'' | ''QJWAYZKBYCEGOTMLVLHRWK2XR5GER4YO'' | | ''student1'' | ''password1'' | ''QJWAYZKBYCEGOTMLVLHRWK2XR5GER4YO'' |
| ''student2'' | ''password2'' | ''HDRCSSKZFXBBEMVT5DY74JIB425NAEZJ'' | | ''student2'' | ''password2'' | ''HDRCSSKZFXBBEMVT5DY74JIB425NAEZJ'' |
---- ---
## Output of the first brainstorming session ## ## Output of the first brainstorming session ##
...@@ -110,19 +110,19 @@ Voici cependant quelques compléments qui ont été discutés en séance: ...@@ -110,19 +110,19 @@ Voici cependant quelques compléments qui ont été discutés en séance:
* L'IdP actuel fait du SSO, hors ici, nous souhaitons a priori désactiver cette fonctionnalité * L'IdP actuel fait du SSO, hors ici, nous souhaitons a priori désactiver cette fonctionnalité
* Il existe 1 fonctionnalité dans l'IdP pour informer (au niveau interface) sur l'expiration du mot de passe ou le nombre d'essais restants. Il ne faut pas que cela interfère avec la 2FA * Il existe 1 fonctionnalité dans l'IdP pour informer (au niveau interface) sur l'expiration du mot de passe ou le nombre d'essais restants. Il ne faut pas que cela interfère avec la 2FA
* Architecture: du coup, il n'est pas encore clair de savoir s'il faut mettre en œuvre un second IdP en place pour MFA, complètement distinct de l'IdP mot de passe ou s'il s'agit d'appliquer des configurations différentes au sein d'un seul IdP * Architecture: du coup, il n'est pas encore clair de savoir s'il faut mettre en œuvre un second IdP en place pour MFA, complètement distinct de l'IdP mot de passe ou s'il s'agit d'appliquer des configurations différentes au sein d'un seul IdP
* End users: ajout d'un scénario du type //Accès de secours// * End users: ajout d'un scénario du type *Accès de secours*
* //As a university staff (and VIP), I want to be able to immediately access a SP requiring 2FA, even if I forgot my mobile phone. It means that I am granted a fallback access for a limited period of time but only after proving my identity, in a way or another.// * As a university staff (and VIP), I want to be able to immediately access a SP requiring 2FA, even if I forgot my mobile phone. It means that I am granted a fallback access for a limited period of time but only after proving my identity, in a way or another.
* End users: ajout d'un scénario de "l'utilisateur réticent" * End users: ajout d'un scénario de "l'utilisateur réticent"
* //As a university staff, I do not want to use my personal mobile phone to access university's IT ressources. I think that University should give me the means to do this, and furthermore I do not have a mobile phone.// * As a university staff, I do not want to use my personal mobile phone to access university's IT ressources. I think that University should give me the means to do this, and furthermore I do not have a mobile phone.
* Nous ne savons pas forcément comment traiter ce cas aujourd'hui. * Nous ne savons pas forcément comment traiter ce cas aujourd'hui.
* End users: ajout d'un scénario Password Recovery * End users: ajout d'un scénario Password Recovery
* //As a university student, I want to be able to reset my password using an online selfcare service and 2FA to prove my identity// * As a university student, I want to be able to reset my password using an online selfcare service and 2FA to prove my identity
* Ce point n'est pas traité pas shibboleth mais par le Password Desk (outil SSPR NetIQ). Par contre les n° de mobile utilisés sont les mêmes que pour l'authent MFA. * Ce point n'est pas traité pas shibboleth mais par le Password Desk (outil SSPR NetIQ). Par contre les n° de mobile utilisés sont les mêmes que pour l'authent MFA.
* End users: ajout d'un scénario HelpDesk * End users: ajout d'un scénario HelpDesk
* //As a Help Desk operator, I need tools to deliver a temporary access in MFA to a user who is temporarily not able to use his second factor. Especially, if he is a VIP.// * As a Help Desk operator, I need tools to deliver a temporary access in MFA to a user who is temporarily not able to use his second factor. Especially, if he is a VIP.
* Pour les sections End users et Operators / services, il faudrait indiquer explicitement ce qui sera traité via shibboleth de ce qui sera traité en dehors. * Pour les sections End users et Operators / services, il faudrait indiquer explicitement ce qui sera traité via shibboleth de ce qui sera traité en dehors.
* SP operator: utilisation de la 2FA pour valider les actions des utilisateurs * SP operator: utilisation de la 2FA pour valider les actions des utilisateurs
* //For sensitive applications, I want to be able to use 2FA to validate user actions but not to use 2FA for global authentication and access to these applications.// * For sensitive applications, I want to be able to use 2FA to validate user actions but not to use 2FA for global authentication and access to these applications.
* Par exemple, on veut qu'un utilisateur de l'application saisie des notes sur le web puisse saisir les notes, ce qui peut prendre du temps, en authent. Simple, et seulement utiliser la 2FA au moment de l'envoi du relevé de notes dans le système. * Par exemple, on veut qu'un utilisateur de l'application saisie des notes sur le web puisse saisir les notes, ce qui peut prendre du temps, en authent. Simple, et seulement utiliser la 2FA au moment de l'envoi du relevé de notes dans le système.
* **NB** Pour l'instant, la réauthentification est utilisée pour faire cela, mais ça pose des problèmes de complexité au sein du portail qui gère une authentification globale pour l'ensemble du portail, et n'apporte pas la sécurité attendue (1 seul facteur d'authentification = mdp). * **NB** Pour l'instant, la réauthentification est utilisée pour faire cela, mais ça pose des problèmes de complexité au sein du portail qui gère une authentification globale pour l'ensemble du portail, et n'apporte pas la sécurité attendue (1 seul facteur d'authentification = mdp).
* Cible: utilisation d'un déclenchement sur action de l'utilisateur dans l'interface (typiquement clic sur un bouton), via un deuxième SP et un changement d'URL? Possibilité d'utiliser seulement le second facteur * Cible: utilisation d'un déclenchement sur action de l'utilisateur dans l'interface (typiquement clic sur un bouton), via un deuxième SP et un changement d'URL? Possibilité d'utiliser seulement le second facteur
...@@ -142,9 +142,17 @@ Voici cependant quelques compléments qui ont été discutés en séance: ...@@ -142,9 +142,17 @@ Voici cependant quelques compléments qui ont été discutés en séance:
### Questions ### ### Questions ###
* Is it possible to specify the desired authentication method (SAML authnContextClassRef) on specific URLs in the Apache configuration?\\ **Yes**, according to [NativeSPApacheConfig](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApacheConfig), any [content setting](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPContentSettings) can be given with the ''ShibRequestSetting'' directive, in particular ''authnContextClassRef'', ''authnContextComparison'' and ''forceAuthn''. Additionally, it is possible to request more than one authentication method. * Is it possible to specify the desired authentication method (SAML authnContextClassRef) on specific URLs in the Apache configuration?
* Same question as above with "force authentication".\\ **Yes** with ''ShibRequestSetting forceAuthn true'', see above.
* Is there a session timeout per authentication method on the SP?\\ **Yes**, but not directly. Session timeouts can be changed per application (in the SP sense). For example, An [ApplicationOverride](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApplicationOverride) could specify a [Sessions](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions) element with MFA-specific timeouts (available settings are ''lifetime'', ''timeout'' and ''maxTimeSinceAuthn''), then this application can be referenced in the Apache configuration with ''ShibRequestSetting applicationId foo''. **Yes**, according to [NativeSPApacheConfig](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApacheConfig), any [content setting](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPContentSettings) can be given with the ''ShibRequestSetting'' directive, in particular ''authnContextClassRef'', ''authnContextComparison'' and ''forceAuthn''. Additionally, it is possible to request more than one authentication method.
* Same question as above with "force authentication".
**Yes** with ''ShibRequestSetting forceAuthn true'', see above.
* Is there a session timeout per authentication method on the SP?
**Yes**, but not directly. Session timeouts can be changed per application (in the SP sense). For example, An [ApplicationOverride](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApplicationOverride) could specify a [Sessions](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPSessions) element with MFA-specific timeouts (available settings are ''lifetime'', ''timeout'' and ''maxTimeSinceAuthn''), then this application can be referenced in the Apache configuration with ''ShibRequestSetting applicationId foo''.
### more meetings ### ### more meetings ###
......