SharePoint Server 2010 permet l’authentification à base de revendications, ce qui permet de nouveau scénarios d’authentification. L’un de ces scénarios est d’avoir des comptes pour lesquels on obtient un jeton à travers Shibboleth. Shibboleth est une implémentation open source basée sur le protocole SAML2. Elle est particulièrement utilisée dans le monde de l’éducation, et en particulier par la fédération RENATER (https://federation.renater.fr/).

Une plateforme de démonstration au MTC paris met cela en oeuvre. On trouvera plus d’informations sur la fédération d’identité sur la plateforme Microsoft à http://idmgt.archims.fr, où la plateforme de démonstration y est décrite. Dans notre cas, SharePoint 2010 fait confiance à ADFS V2 (ADFS = Active Directory Federation Services) qui fait lui-même confiance à la fédération Renater (et d’autres fournisseurs tels qu’un Shibboleth local, ou encore Azure Access Control Service). A chaque niveau de confiance, on a laissé sur cette plateforme de démonstration les écrans de choix par défaut pour des raisons pédagogiques, mais il est possible de les modifier ou de les rendre invisibles si on peut disposer des informations suffisantes pour ne rien demander à l’utilisateur.

Des livres blancs ont été écrits sur la théorie et la façon de mettre cela en oeuvre, qu’on trouvera dans le dossier Microsoft France | Interopérabilité.

On montre ici quelques copies d’écrans de ce que cela donne.

Connexion à https://sharepoint.demo.idmgt.archims.fr (NB: cette adresse n’est pas accessible depuis Internet). SharePoint redirige le navigateur vers ADFS V2 car on est arrivé sans jeton:
image

On choisit la fédération de test RENATER:
image

image

ADFS V2 redirige alors le naviagteur vers le serveur Shibboleth de la fédération de test RENATER qui, afin de délivrer un jeton SAML, doit d’abord authentifier l’utilisateur.
image

image

Le service Shibboleth de test de la fédération RENATER fournit alors un jeton SAML authentifiant etudiant1 à destination d’ADFS V2 et redirige le navigateur vers ADFS V2 qui, à l’aide de ce jeton, émet lui-même un jeton à destination de SharePoint et redirige le navigateur vers SharePoint:
image

On peut également ouvrir le document en cliquant dessus.
image
image

image

image

image

 

Il est à noter que si l’on ferme Word et qu’on ouvre à nouveau le document, le contexte de sécurité a été conservé et l’authentification n’est pas redemandée:
image

image

image

Si vous avez des questions sur ce scénario ou des scénarios similaires, n’hésitez pas à commenter ce billet.