LemonLDAP::NG est un logiciel open source qui fournit une solution d'authentification unique distribuée avec gestion centralisée des droits sous licence GPL. Il est créé en 2004 par la Gendarmerie nationale française, en fourchant le logiciel LemonLDAP.
Histoire
Le logiciel LemonLDAP::NG est issu d'un logiciel créé par Eric German suivant le protocole de gestion d'annuaire LDAP sous TCP/IP pour le ministère des Finances français. La Gendarmerie nationale[1],[2] reprend ce logiciel en 2004 pour l'élargir et le conformer à ses besoins. LemonLDAP::NG est toujours développé et utilisé par la Gendarmerie nationale ainsi que par de nombreux ministères, organisations ou universités, en France comme à l'étranger.
Fonctionnement
Le logiciel fonctionne avec les serveurs web Apache ou Nginx mais un mode reverse proxy permet de l'utiliser avec des applications exécutées sur un autre serveur (IIS, Tomcat, etc.)[3],[4].
Il peut gérer plus de 200 000 utilisateurs de différentes organisations. Il implémente à la fois[5] :
l'authentification à double facteur (U2F, TOTP, Yubikey, REST ou externe tels SMS ou mails)[7]
un système d'authentification unique basé sur des cookies sécurisés ;
un menu dynamique des applications ;
un module de réinitialisation de mots de passe ;
un module d'auto-création de compte ;
un dispositif de notification ;
un explorateur de sessions.
Depuis la version 1.9, il propose un connecteur FranceConnect, lui permettant d'être simplement soit fournisseur d'identités, soit fournisseur de services[8].
La version 2.0.6 apporte, entre autres évolutions, les nouvelles fonctionnalités suivantes :
la sur-charge des seconds facteurs et la prise en charge du protocole RADIUS ;
la possibilité de définir une politique locale des mots de passe ;
un module de simulation d'identités pour des environnements de formation ;
un module d'endossement d'identité pouvant être activé à des fins de diagnostic ;
un module permettant de consulter le profil SSO d'un utilisateur et de vérifier ses droits d'accès ainsi que les en-têtes transmis ;
un module pour éditer la configuration en lecture seule.
La version 2.0.7 permet un meilleur support du protocole OpenId Connect et apporte de nombreuses améliorations ou correctifs.
La version 2.0.8 offre de nombreuses API et améliorations[évasif].
La version 2.0.9 apporte un outil de gestion des sessions, ameliore la gestion des mots de passe, une documentation intégrée au code source et des correctifs.
La version 2.0.10 apporte de nouveaux algorithmes de signatures SAML, un module d'authentification adaptative et améliore la sécurité.
La version 2.0.11 propose un module de recherche de compte et le support de l4OAuth2.0 Client Credentials.
La version 2.0.12 offre le support de CrowdSec et améliore la sécurité.
La version 2.0.14 ajoute le support du standard WebAuthn (FIDO 2) comme second facteur d'authentification, un module permettant de moduler la méthode d'authentification en fonction du risque (RBA) et améliore la sécurité.
Distinction
2006, Lutèce d’Or du Meilleur projet Libre réalisé pour une administration pour DGCP LemonLDAP[9].
2014, OW2 Best Project Community Award pour LemonLDAP::NG[10].
2018, OW2 Best Project Community Award pour FusionIAM, combinant Fusion Directory et LemonLDAP::NG[11].
Notes et références
↑(en) « Portail Curasso », sur auth.sso.gendarmerie.interieur.gouv.fr (consulté le )
↑Maxime Latour, « Rapport de fin d'études », Cesi Alternance École Supérieure des Métiers, (lire en ligne)
↑Smile, « LemonLDAP::NG / Guide Open Source », Guide Open Source, (lire en ligne, consulté le ).
↑OCTO Technology, Nicolas Debaes et Bruno Vincent, Gestion des identités : une politique pour le système d'information, Paris, OCTO Technology, , 216 p. (ISBN978-2-9525895-1-2, lire en ligne).
↑(en) Kai Mertins, Frédérick Bénaben, Raúl Poler et Jean-Paul Bourrières, Enterprise Interoperability VI : Interoperability for Agility, Resilience and Plasticity of Collaborations, Cham, Springer Science & Business Media, (ISBN978-3-319-04948-9, lire en ligne)