intégration technique
DESCRIPTION
Niklaus Hangartner, Leiter R&D, Digital Trust Services, Die Schweizerische PostTRANSCRIPT
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
SuisseID Provider Forum 2013 Intégration technique
Nick Hangartner [email protected]
Août 2013 1
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Programme
Qu’est-ce que la SuisseID?
Bases techniques
Les possibilités d’intégration
Authentification
Signature numérique
Août 2013 2
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Qu’est-ce que la SuisseID?
• La SuisseID est la norme suisse d’authentification
électronique sur Internet, qui crée les conditions juridiques
et techniques adaptées aux processus commerciaux
numériques.
• La SuisseID permet d’utiliser en toute simplicité une
technologie de sécurité de haute qualité qui garantit une
authentification sécurisée et une signature électronique
juridiquement valable.
Août 2013 3
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Que comprend la SuisseID?
• Une norme publique
Les spécifications SuisseID
• Une marque
Clairement reconnaissable et univoque
• Des supports techniques
Certificats SuisseID, Smartcard, IdP SuisseID, SuisseID SDK
• Des services
Services SuisseID
Août 2013 4
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
A quelles exigences répond la SuisseID?
Août 2013 5
Utilisateurs
• Simplicité et sécurité
• Convivialité
• Passe-partout
• Confidentialité
Fournisseurs de service
• Focalisation sur les processus clés
• Accès sécurisé
• Automatisation des processus
• Elargissement du service
Législation
• Art. 14 al. 2bis CO
• SCSE
• ElDI-V
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Programme
Qu’est-ce que la SuisseID?
Bases techniques
Intégration dans l’application
Authentification
Signature numérique
Août 2013 6
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Concept de la SuisseID
Classification dans IAM (Identity & Access Management)
Août 2013 7
Identité
Authentification
Autorisation
Ressources
• Au niveau passeport/carte d’identité
• Informations vérifiées
• Identification univoque
• A 2 facteurs
• Hardware Token
• Service d’authentification
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Août 2013 8
Acquisition
• Face to face
• Administrations, la Poste, entreprises
• Logistique
Mise en service
• Installation
• Activation
Maintenance
• Remplacement
• Mot de passe/PUK
• Renouvellement
• Blocage
Support
• En ligne
• Par téléphone
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Concept SuisseID
Composants techniques
• SuisseID Smartcard Token • Prénom, nom, numéro SuisseID
• Adresse e-mail
• Certificat d’authentification (IAC) / certificat de signature (QC)
• SuisseID Identity Provider (IdP) • Service de cloud
• Données validées élargies
• Méthodes d’authentification alternatives / Tokens
• Validation sous contrôle de l’utilisateur
• Partiellement anonyme – p.ex. 16 / 18 ans ou plus âgés
Août 2013 9
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Programme
Qu’est-ce que la SuisseID?
Bases techniques
Intégration dans l’application
Authentification
Signature numérique
Août 2013 10
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Intégration dans l’application
Client et Cloud
• Client: comment transférer la SuisseID à un client?
Comment l’utilisateur peut-il accéder à la SuisseID?
• Cloud: comment intégrer la fonctionnalité SuisseID à mon
application Cloud / Web?
Août 2013 11
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Questions décisives pour une intégration réussie
• Quelles doivent être les propriétés de l’identification – au
plan juridique, réglementation sectorielle, politique
interne?
• Quel niveau de qualité doit avoir l’authentification?
• Les données vérifiées peuvent-elles simplifier les
processus d’enregistrement ou d’authentification?
• Comment sont reliés les identités et les comptes?
• Intégration directe dans l’application ou via Proxy /
Firewall?
• Support de normes/interfaces techniques?
Août 2013 12
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Programme
Qu’est-ce que la SuisseID?
Bases techniques
Intégration dans l’application
Authentification
Signature digitale
Août 2013 13
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Authentification par certificat
Mutual SSL
• Navigateur avec support Smartcard
• Configuration dans le serveur Web (p. ex. Apache «SSLRequire»), serveur d’application, Proxy, Firewalls
• Données du certificat en variables, HTTP-Header, Cookies
Août 2013 14
1. Access protected resource
2. . Request certificate 3. Authenticate
4. Provide credentials
Navigateur
Service Provider SuisseID
Smartcard
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Authentification par certificat
Attributs d’identification dans le certificat IAC
Août 2013 15
CN=Hans Muster (authentification) Prénom, nom
/serialNumber=1300-xxxx-xxxx-xxxx Numéro SuisseID appartenant à une
personne
/eMail= [email protected] Adresse e-mail (en option)
/O=entreprise, /OU=unité, /C=pays Organisation (en option)
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Authentification par IDP
Authentification SAML et Attribute Query
Août 2013 16
User Agent (Web Browser)
Service Provider (application Web)
SuisseID Smartcard / SMS
Identity Provider
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Août 2013 17
Authentification par IDP
Déroulement technique SAML 2.0
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Définition de l’interface
Service Provider
• Identification univoque via SAML Issuer, p. ex. http://sp.mycompany.ch
• SAML 2.0 AuthnRequest (authentification) / AttributeQuery (consultation
des données)
• SuisseID SDK for Java (OpenSAML) et .NET
• 3rd party SDK / Library (PHP: SimpleSAML etc.)
• Response end point SAML ConsumerURL
• QC Signed Attributes / Plain Attributes
Identity Provider
• Nouveau: une seule IdP pour toutes les SuisseID
Août 2013 18
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Prénom Type du document d’identité
Nom Pays émetteur du document d’identité
Evt. pseudonyme Bureau d’émission du document d’identité
Date de naissance Date d’émission du document d’identité
Date de naissance partielle Date d’expiration du document d’identité
Lieu de naissance Age
Lieu d’origine > 16 ans
Sexe > 18 ans
Nationalité Age révolu
Numéro du document
d’identité
Citoyen(ne) suisse
Août 2013 19
Authentification par IDP
Attributs de requête
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Authentification par IDP
Intégration et support
• Enregistrement du fournisseur de services (Service
Provider)
• www.post.ch/suisseid/support/techdoc/service-provider-
registration
• Information sur les travaux de maintenance, les nouveautés
• Production et environnements de test
• Test possible avec certificats logiciels
• Démo Service Provider (partie du SDK)
https://idp.signdemo.com/webapp-sp
Août 2013 20
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Programme
Qu’est-ce que la SuisseID?
Bases techniques
Intégration dans l’application
Authentification
Signature numérique
Août 2013 21
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Signature numérique
Apposer une signature juridiquement valable
Client avec application SuisseID Smartcard Token
• PKCS#11 Libraries: Java, BouncyCastle (Java), iText (PDF),
Microsoft .NET
• SuisseID propose l’interface PKCS#11 sous Windows, Mac OS X,
Linux
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Août 2013 23
Signature numérique – Exemple avec un PDF
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Août 2013 24
Signature numérique – Exemple avec un PDF
Association Trägerschaft SuisseID
Direction opérationnelle
Steinerstrasse 37
CH-3006 Berne
Ressources
Autres informations relatives à l’intégration
• Spécifications SuisseID
http://www.suisseid.ch/unternehmen/technik/index.html?lang=fr
• Kit de développement logiciel SuisseID (SDK)
• https://www.e-
service.admin.ch/wiki/display/suisseid/Home
• Documentation technique
http://postsuisseid.ch/fr/support/techdoc
• Service mobile SuisseID
http://postsuisseid.ch/de/mobileservice
Août 2013 25