LemonLDAP::NG
logiciel informatique
From Wikipedia, the free encyclopedia
LemonLDAP::NG est un logiciel open source qui fournit une solution d'authentification unique distribuée avec gestion centralisée des droits sous licence GPL. Il est créé en 2004 par la Gendarmerie nationale française, en fourchant le logiciel LemonLDAP.
| Créateur | Xavier Guimard |
|---|---|
| Développé par | Xavier Guimard, Clément Oudot, Christophe Maudoux, Maxime Besson |
| Dernière version | 2.20.1 ()[1] |
| Dépôt | https://gitlab.ow2.org/lemonldap-ng/lemonldap-ng.git |
| État du projet | En développement actif |
| Écrit en | Perl, Javascript |
| Environnement | Système UNIX avec serveur Web Apache, Nginx ou PSGI |
| Type | WebSSO |
| Licence | Licence Apache 2.0 |
| Site web | lemonldap-ng.org |
Histoire
Le logiciel LemonLDAP::NG est issu d'un logiciel créé par Eric German suivant le protocole de gestion d'annuaire LDAP sous TCP/IP pour le ministère des Finances français. La Gendarmerie nationale[2],[3] reprend ce logiciel en 2004 pour l'élargir et le conformer à ses besoins. LemonLDAP::NG est toujours développé et utilisé par la Gendarmerie nationale ainsi que par de nombreux ministères, organisations ou universités, en France comme à l'étranger.
Fonctionnement
Le logiciel fonctionne avec les serveurs web Apache ou Nginx mais un mode reverse proxy permet de l'utiliser avec des applications exécutées sur un autre serveur (IIS, Tomcat, etc.)[4],[5].
Il peut gérer plus de 200 000 utilisateurs de différentes organisations. Il implémente à la fois[6] :
- les services de fournisseur d'identité et de service SAML, OpenID, CAS et OpenID Connect[7] ;
- peut-être utilisé comme Proxy protocolaire en fédération des identités ;
- l'authentification basée sur LDAP, Kerberos, SQL, Twitter et d'autres protocoles ;
- l'authentification à double facteur (U2F, TOTP, Yubikey, REST ou externe tels SMS ou mails)[8]
- un système d'authentification unique basé sur des cookies sécurisés ;
- un menu dynamique des applications ;
- un module de réinitialisation de mots de passe ;
- un module d'auto-création de compte ;
- un dispositif de notification ;
- un explorateur de sessions.
Depuis la version 1.9, il propose un connecteur FranceConnect, lui permettant d'être simplement soit fournisseur d'identités, soit fournisseur de services[9].
La version 2.0.6 apporte, entre autres évolutions, les nouvelles fonctionnalités suivantes :
- la sur-charge des seconds facteurs et la prise en charge du protocole RADIUS ;
- la possibilité de définir une politique locale des mots de passe ;
- un module de simulation d'identités pour des environnements de formation ;
- un module d'endossement d'identité pouvant être activé à des fins de diagnostic ;
- un module permettant de consulter le profil SSO d'un utilisateur et de vérifier ses droits d'accès ainsi que les en-têtes transmis ;
- un module pour éditer la configuration en lecture seule.
La version 2.0.7 permet un meilleur support du protocole OpenId Connect et apporte de nombreuses améliorations ou correctifs.
La version 2.0.8 offre de nombreuses API et améliorations[évasif].
La version 2.0.9 apporte un outil de gestion des sessions, ameliore la gestion des mots de passe, une documentation intégrée au code source et des correctifs.
La version 2.0.10 apporte de nouveaux algorithmes de signatures SAML, un module d'authentification adaptative et améliore la sécurité.
La version 2.0.11 propose un module de recherche de compte et le support de l4OAuth2.0 Client Credentials.
La version 2.0.12 offre le support de CrowdSec et améliore la sécurité.
La version 2.0.14 ajoute le support du standard WebAuthn (FIDO 2) comme second facteur d'authentification, un module permettant de moduler la méthode d'authentification en fonction du risque (RBA) et améliore la sécurité.
