Groupe 1B (SSO et gestion des autorisations)
Date de création : 12 mai 2003
Dernière modification :
Diffusion : internet

ANNEXE : cinématique succincte du mécanisme CAS

Cette annexe a été jointe par les représentants de ESUP-Portail au retour qu'ils ont fait au groupe AAS après la réunion du 7 mai 2003.

Acquisition d'un PGC par le client web

l'authentification se fait auprès du serveur d'authentification (qui n'est pas le portail du SDET), lors d'une requête HTTPS. le TGC (Ticket Granting Cookie) est un cookie privé et protégé, obtenu auprès du serveur d'authentification sur présentation d'un couple login/password, d'un certificat, ...

Accès direct d'un client web à une application web

Le ST (Service Ticket) est un jeton opaque non rejouable. L'identifiant de l'utilisateur est récupéré par l'application sur présentation d'un ST.

En cas de présentation d'un ST valide (existant et non déjà joué), le serveur CAS retourne l'identifiant de l'utilisateur.

Note : il n'est fait aucune supposition sur l'application, qui peut en particulier être le portail (socle au sens du SDET).

Accès à une application à travers le portail

Nous distinguons ici trois cas :

Fonctionnement en mode proxy de CAS

Dans ce cas, le portail agit comme un proxy CAS : à l'aide du ST transmis par le navigateur, le portail obtient du serveur CAS, en plus de l'identifiant de l'utilisateur, un PGT (Proxy Granting Ticket) :

Ce PGT, présenté au serveur CAS, permet d'obtenir un PT (Proxy Ticket), qui est aux proxies CAS ce que le ST est aux navigateurs.

le PT, présenté au serveur CAS par l'application, permet de récupérer l'identifiant de l'utilisateur.

 

Création : 12 mai 2003 - Pascal Aubry (Univeristé de Rennes 1), Vincent Mathieu (Université de Nancy 2)

Modifications :