Shibboleth : un système d'authentification unique ++ Shibboleth, de l'authentification au chiffrement en passant par la certification

Il est remarquable de constater que dans l'acronyme SSO, qui correspond à Single-Sign On, il n'y ait aucun "S" qui signifie "sécurité". Or, avec Shibboleth, réduit à une simple fonctionnalité de SSO, la sécurité est belle et bien présente : 

 L'authentification utilisateur, peut être renforcée, par l'usage de certificats X.509 clients, par exemple en connectant CAS à Shibboleth.

 Les SP importent les certificats serveurs des IdP qu'ils autorisent à leur fournir une authentification utilisateur. Ainsi, le cercle de confiance est bien défini et sécurisé : les SP n'acceptent pas de n'importe quel IdP une authentification utilisateur.   

 Les IdP peuvent aussi importer les certificats des SP. Ainsi, seuls les SP autorisés peuvent demander une authentification utilisateur.  

 Les assertions sont chiffrées par des clés asymétriques (cf. WS-Encryption).  

 Les assertions sont signées par les certificats serveurs, des IdP pour les SP et des SP pour les IdP (cf. WS-Signature).  

 Chaque donnée d'utilisateur dans les assertions à destination des SP peut être chiffrée et signée, indépendamment de l'assertion, par le certificat serveur de l'IdP.  

 Des mécanismes peuvent être configurés dans le but de présenter à l'utilisateur l'ensemble des données le concernant à destination du SP, pour validation, avant que l'IdP ne les transmette. Ainsi, l'utilisateur est maître des données le concernant qu'il veut transmettre aux services distants.