SlideShare a Scribd company logo

Sécurisation de jitsi en SAAS (OSXP 2023)

S
Soisik FROGER

Revue de l’architecture technique et du fonctionnement d’une solution HDS basée sur Jitsi, Jitsi-admin et Keycloak et hébergé en SAAS. Le projet, déjà en production, permet à des médecins conseil de l’assurance maladie (l’organisateur) ou à leur secrétariat de prendre rendez-vous avec un médecin libéral (l’invité) pour des échanges confraternels autour de sujets médicaux sur une plateforme inter-connectée au SSO de l’assurance maladie pour l’authentification. Les invités passent par un sas d’accueil puis patientent dans une salle d’attente jusqu’à l’ouverture de la visioconférence par l’organisateur qui valide leur arrivée. Les sessions sont automatiquement fermées cinq minutes après le départ de l’organisateur.

Technology
1 of 31
Download to read offline
Sécurisation de Jitsi en SaaS
2 2 Sommaire Présentation Vue d’ensemble Architecture technique Sécurisation avec JWT token Démo Configuration Adaptations
3 3 Présentation
Worteks (vɔʁ.tɛks) Service Infrastructures hétérogènes et complexes, cloud, mail, authentification, sécurité  Études, audit et consulting  Expertise technique  Support technique  Formation  R&D et innovation Édition Portail d'applications collaboratif Plateforme mutualisée de développement Gestion des identités et des accès Partenaires
Présentation Soisik FROGER Architecte logiciel @ Worteks 20 ans d’XP dans le développement et l’intégration de solutions open-source dans les domaines de ● La gestion d’identité : SSO, LDAP ● Les outils collaboratifs : chat, visio, cloud, mail ● Les applications métiers : spécifique, GED/BPM, décisionnel ● soisik.froger@worteks.com @soisikf@framapiaf.org ● https://fr.linkedin.com/in/soisik-froger-712548116
Worteks (vɔʁ.tɛks) https://www.worteks.com/rejoindre/
7 7 Vue d’ensemble
Besoins métiers ● Doter les agents d’un outil de planification et d’accès à des visio-conférences répondant aux exigences HDS ● Sécurisation : données, accès, disponibilité ● Externalisation (SaaS) : cloud et logiciels souverains ● Auditabilité : journalisation et reporting métiers ● Deploiement automatisé (ansible), scalabilité ● Cas d’usage types ● Echange confraternel entre un médecin conseil et un médecin libéral sur un sujet médical ● A terme, échange entre un médecin conseil et un assuré
Un outil sécurisé ● Habilitation via l’import automatisé de référentiels ● Identifiants des agents et groupes ● Identification opérée depuis le SI client ● Connexion via le SSO du client accessible en interne/VPN ● Récupération des attributs utilisateurs via le SSO ● Accueil des invités sur le créneau réservé ● Portail d'accueil ● Attente de l’arrivée du modérateur dans une salle d'attente ● Filtrage des arrivées par les modérateurs ● Deconnexion automatique des invités à la fin de la réunion
Un outil sécurisé et souverain ● Architecture pensée pour la haute-disponibilité et la scalabilité sur deux sites géographiques ● Intégration de composants opensource : Jitsi, Jitsi- Admin, Keycloak, Grafana/ELK, PostgreSQL, CoTurn, OpenLDAP, Pacemaker, Corosync, PCS ● Services et données hébergés en France ● Infogérance externalisée à des prestataires
Un outil sécurisé, souverain et pilote ● Projet pilote pour ce client dans son évaluation et son appropriation du cloud et de l’open-source ● Problématiques sur la maîtrise des couts, les limites des outils vs exigences métiers ou contraintes techniques, la MCO ● Hébergement externalisé auprès d'un opérateur de cloud Français ● Problématiques sur le SMTP, cloisonnement, réseaux, DNS, certificats ...
12 12 Architecture technique
Schéma d’architecture technique
14 14 Sécurisation Json Web Token
Modes d’authentification sur Jitsi ● Par défaut : pas d'authentification ● Authentifier les utilisateurs à l’ouverture d’une réunion ● Authentification depuis un annuaire LDAP (Cyrus SASL) – Ce n'est pas du SSO ● Authentification SSO avec headers (mode dit shibboleth) – N'est plus supporté dans les dernières versions ● Authentification par jitsi JWT token – Authentification depuis un SSO compatible – Intégration avec des applications ● Génération à la volée de liens sécurisé vers des conférences ● Envoi de liens sécurisés dans les invitations
Flux d'authentification
Qu’est-ce qu’un JSON web token ? ● Standard RFC 7519 ● Format Json ● Défini un mode de transmission d'information sécurisée entre deux applications ● Lisible par tous mais inaltérable ● Décomposé en trois sections : entête, payload, signature (via un secret ou une clé asymétrique)
Contenu du JWT : modérateur
Contenu du JWT : invité
20 20 Démo
21 21 Configuration
jitsi-meet-tokens ● Prérequis : ● VMs ubuntu/debian ● Installation de Jitsi-meet ● Installation de Jitsi-admin ● Installer le module jitsi-meet-tokens ● Un nom d’application et une chaine aléatoire (le secret partagé) est demandé lors de l'installation
Modules communautaires ● InstallIer les modules communautaires Jitsi ● Jitsi-token-moderation – Lit l'attribut « moderator » du JWT pour déterminer si l'utilisateur est modérateur de la réunion ● token_affiliation – Lit l'attribut « affiliation » du JWT pour déterminer si l'utilisateur est propriétaire de la réunion (dépendance de token_owner_party) ● token_owner_party – Fermer la conférence 10 minutes après le départ du dernier propriétaire
Configuration Jitsi Dans /etc/prosody/conf.d/visio.domain.io.cfg.lua VirtualHost "visio.domain.io" authentication = "token" app_id="visio" app_secret="some_secret" allow_empty_token = false allow_empty_token = false impose la fourniture d’un token pour l’accès à une réunion (y compris pour les invités)
Configuration Jitsi Dans le virtualHost conference.visio.domain.io : Component "conference.visio.domain.io" "muc" modules_enabled = { .... "token_verification"; "token_moderation"; "token_affiliation"; "token_owner_party"; "muc_max_occupants";
Configuration Jitsi Dans le fichier /etc/jitsi/jicofo/sip-communicator.properties org.jitsi.jicofo.auth.URL=EXT_JWT:visio.domain.io org.jitsi.jicofo.DISABLE_AUTO_OWNER=true org.jitsi.jicofo.auth.DISABLE_AUTOLOGIN=true
Configuration Jitsi-Admin ● Déclarer le serveur et le secret partagé depuis l'interface avec un profil admin
28 28 Adaptations
Adaptations Jitsi-admin ● Jitsi-admin a fait l'objet de très nombreuses adaptations ● Anonymisation de l'adresse de l’organisateur dans les invitations envoyées par mail ● Format du token : attributs affiliation, exp, nbf, mail du modérateur si non anonyme ● Forcer l’authentification via le SSO pour les modérateurs ● Traitement des réponses reçues par mail (relai, alerte...)
Adaptations : Jitsi / Prosodie ● Modules prosody ● jitsi-meet-tokens ● lobby_rooms – Activation du « lobby » à l'arrivée du premier participant – Le modérateur by-pass le « lobby » ● Jitsi front ● Thème graphique ● Déconnexion des invités en fin de réunion ● Affichage du contact (mailto:) du modérateur en cas de souci de connexion
info@worteks.com @worteks_com@mastodon.social linkedin.com/company/worteks Merci

Recommended

[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'Sweet[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'SweetWorteks
 
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'SweetWorteks
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Clément OUDOT
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Worteks
 

Recommended

[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'Sweet[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'SweetWorteks
 
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'SweetWorteks
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Clément OUDOT
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Worteks
 
LinPKI
LinPKILinPKI
LinPKILINAGORA
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Technet France
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008Arnaud Lesueur
 
Présentation Master
Présentation Master Présentation Master
Présentation Master Bilel Trabelsi
 
Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Microsoft Technet France
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSASylvain Maret
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009LINAGORA
 
Introduction à DotNetNuke
Introduction à DotNetNukeIntroduction à DotNetNuke
Introduction à DotNetNukeMicrosoft
 
DotNetNuke aux TechDays 2012
DotNetNuke aux TechDays 2012DotNetNuke aux TechDays 2012
DotNetNuke aux TechDays 2012Cyril P
 
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...Yosra Walid
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009LINAGORA
 

More Related Content

Similar to Sécurisation de jitsi en SAAS (OSXP 2023)

Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Technet France
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008Arnaud Lesueur
 
Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Microsoft Technet France
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSASylvain Maret
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009LINAGORA
 
Introduction à DotNetNuke
Introduction à DotNetNukeIntroduction à DotNetNuke
Introduction à DotNetNukeMicrosoft
 
DotNetNuke aux TechDays 2012
DotNetNuke aux TechDays 2012DotNetNuke aux TechDays 2012
DotNetNuke aux TechDays 2012Cyril P
 
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...Yosra Walid
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009LINAGORA
 

Similar to Sécurisation de jitsi en SAAS (OSXP 2023) (20)

LinPKI
LinPKILinPKI
LinPKI
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008JA-SIG CAS - RMLL 2008
JA-SIG CAS - RMLL 2008
 
Présentation Master
Présentation Master Présentation Master
Présentation Master
 
Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts Architecture Lync - Deep dive avec nos experts
Architecture Lync - Deep dive avec nos experts
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSA
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009
 
Introduction à DotNetNuke
Introduction à DotNetNukeIntroduction à DotNetNuke
Introduction à DotNetNuke
 
DotNetNuke aux TechDays 2012
DotNetNuke aux TechDays 2012DotNetNuke aux TechDays 2012
DotNetNuke aux TechDays 2012
 
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...
Implémentation d'une solution d'accès mobile aux données de Microsoft Dynamic...
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009
 

Sécurisation de jitsi en SAAS (OSXP 2023)

  • 4. Worteks (vɔʁ.tɛks) Service Infrastructures hétérogènes et complexes, cloud, mail, authentification, sécurité  Études, audit et consulting  Expertise technique  Support technique  Formation  R&D et innovation Édition Portail d'applications collaboratif Plateforme mutualisée de développement Gestion des identités et des accès Partenaires
  • 5. Présentation Soisik FROGER Architecte logiciel @ Worteks 20 ans d’XP dans le développement et l’intégration de solutions open-source dans les domaines de ● La gestion d’identité : SSO, LDAP ● Les outils collaboratifs : chat, visio, cloud, mail ● Les applications métiers : spécifique, GED/BPM, décisionnel ● soisik.froger@worteks.com @soisikf@framapiaf.org ● https://fr.linkedin.com/in/soisik-froger-712548116
  • 8. Besoins métiers ● Doter les agents d’un outil de planification et d’accès à des visio-conférences répondant aux exigences HDS ● Sécurisation : données, accès, disponibilité ● Externalisation (SaaS) : cloud et logiciels souverains ● Auditabilité : journalisation et reporting métiers ● Deploiement automatisé (ansible), scalabilité ● Cas d’usage types ● Echange confraternel entre un médecin conseil et un médecin libéral sur un sujet médical ● A terme, échange entre un médecin conseil et un assuré
  • 9. Un outil sécurisé ● Habilitation via l’import automatisé de référentiels ● Identifiants des agents et groupes ● Identification opérée depuis le SI client ● Connexion via le SSO du client accessible en interne/VPN ● Récupération des attributs utilisateurs via le SSO ● Accueil des invités sur le créneau réservé ● Portail d'accueil ● Attente de l’arrivée du modérateur dans une salle d'attente ● Filtrage des arrivées par les modérateurs ● Deconnexion automatique des invités à la fin de la réunion
  • 10. Un outil sécurisé et souverain ● Architecture pensée pour la haute-disponibilité et la scalabilité sur deux sites géographiques ● Intégration de composants opensource : Jitsi, Jitsi- Admin, Keycloak, Grafana/ELK, PostgreSQL, CoTurn, OpenLDAP, Pacemaker, Corosync, PCS ● Services et données hébergés en France ● Infogérance externalisée à des prestataires
  • 11. Un outil sécurisé, souverain et pilote ● Projet pilote pour ce client dans son évaluation et son appropriation du cloud et de l’open-source ● Problématiques sur la maîtrise des couts, les limites des outils vs exigences métiers ou contraintes techniques, la MCO ● Hébergement externalisé auprès d'un opérateur de cloud Français ● Problématiques sur le SMTP, cloisonnement, réseaux, DNS, certificats ...
  • 15. Modes d’authentification sur Jitsi ● Par défaut : pas d'authentification ● Authentifier les utilisateurs à l’ouverture d’une réunion ● Authentification depuis un annuaire LDAP (Cyrus SASL) – Ce n'est pas du SSO ● Authentification SSO avec headers (mode dit shibboleth) – N'est plus supporté dans les dernières versions ● Authentification par jitsi JWT token – Authentification depuis un SSO compatible – Intégration avec des applications ● Génération à la volée de liens sécurisé vers des conférences ● Envoi de liens sécurisés dans les invitations
  • 17. Qu’est-ce qu’un JSON web token ? ● Standard RFC 7519 ● Format Json ● Défini un mode de transmission d'information sécurisée entre deux applications ● Lisible par tous mais inaltérable ● Décomposé en trois sections : entête, payload, signature (via un secret ou une clé asymétrique)
  • 18. Contenu du JWT : modérateur
  • 19. Contenu du JWT : invité
  • 22. jitsi-meet-tokens ● Prérequis : ● VMs ubuntu/debian ● Installation de Jitsi-meet ● Installation de Jitsi-admin ● Installer le module jitsi-meet-tokens ● Un nom d’application et une chaine aléatoire (le secret partagé) est demandé lors de l'installation
  • 23. Modules communautaires ● InstallIer les modules communautaires Jitsi ● Jitsi-token-moderation – Lit l'attribut « moderator » du JWT pour déterminer si l'utilisateur est modérateur de la réunion ● token_affiliation – Lit l'attribut « affiliation » du JWT pour déterminer si l'utilisateur est propriétaire de la réunion (dépendance de token_owner_party) ● token_owner_party – Fermer la conférence 10 minutes après le départ du dernier propriétaire
  • 24. Configuration Jitsi Dans /etc/prosody/conf.d/visio.domain.io.cfg.lua VirtualHost "visio.domain.io" authentication = "token" app_id="visio" app_secret="some_secret" allow_empty_token = false allow_empty_token = false impose la fourniture d’un token pour l’accès à une réunion (y compris pour les invités)
  • 25. Configuration Jitsi Dans le virtualHost conference.visio.domain.io : Component "conference.visio.domain.io" "muc" modules_enabled = { .... "token_verification"; "token_moderation"; "token_affiliation"; "token_owner_party"; "muc_max_occupants";
  • 26. Configuration Jitsi Dans le fichier /etc/jitsi/jicofo/sip-communicator.properties org.jitsi.jicofo.auth.URL=EXT_JWT:visio.domain.io org.jitsi.jicofo.DISABLE_AUTO_OWNER=true org.jitsi.jicofo.auth.DISABLE_AUTOLOGIN=true
  • 27. Configuration Jitsi-Admin ● Déclarer le serveur et le secret partagé depuis l'interface avec un profil admin
  • 29. Adaptations Jitsi-admin ● Jitsi-admin a fait l'objet de très nombreuses adaptations ● Anonymisation de l'adresse de l’organisateur dans les invitations envoyées par mail ● Format du token : attributs affiliation, exp, nbf, mail du modérateur si non anonyme ● Forcer l’authentification via le SSO pour les modérateurs ● Traitement des réponses reçues par mail (relai, alerte...)
  • 30. Adaptations : Jitsi / Prosodie ● Modules prosody ● jitsi-meet-tokens ● lobby_rooms – Activation du « lobby » à l'arrivée du premier participant – Le modérateur by-pass le « lobby » ● Jitsi front ● Thème graphique ● Déconnexion des invités en fin de réunion ● Affichage du contact (mailto:) du modérateur en cas de souci de connexion