Fédération d`identités UNR Bretagne

Fédération d'identités
UNR Bretagne
Raymond Bourges, Christophe Retourna
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Licence
• Vous êtes libres
– De reproduire, distribuer et communiquer cette
création au public
– De modifier cette création
• Ceci selon les conditions de la licence
Creative Commons
– Cf. http://creativecommons.org/licenses/by-nc-sa/2.5/
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
UNRB
• Université Numérique en Région Bretagne
• Pour en savoir plus :
– http://unrb.univ-bretagne.fr/
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
UNRB – Les partenaires
•
•
•
•
•
L’Université de Bretagne Occidentale (UBO)
L’Université de Bretagne Sud (UBS)
L’Université de Rennes 1 (UR1)
L’Université Rennes 2 - Haute Bretagne (UHB)
L’Institut Universitaire de Formation des Maîtres (IUFM)
de Bretagne
• La Conférence des Directeurs des Grandes Écoles de
Bretagne (CDGEB)
• Partenariat : CROUS Rennes Bretagne et France
Télécom Bretagne
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
UNRB – Les actions
• Axe 1 : Les services de formation et
d'enseignement
– 4 actions
• Axe 2 : Les services aux étudiants
– 9 actions
• Axe 3 : Les infrastructures
– 4 actions
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
UNRB – Zoom
• Axe 2 – Action 2.1 : Déploiement de ESUPPortail dans les établissements partenaires
– Action 2.1.1 : Interopérabilité
– Action 2.1.2 : Déploiement
• Axe 3 – Action 3.1 : Expérimentations interétablissements, CROUS et France Télécom
– Salles Carrefour
• Axe 3 – Action 3.2 Développement du réseau
des points ETUDE
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Action 2.1.1
•
Déroulement
1. Prise de connaissance du sujet et définition des
objectifs cibles (1er semestre 2005)
2. Mise en place d'une maquette d'accès à un service
de test par des acteurs d'au moins deux
établissements (mi 2005)
3. Analyse des premiers tests, définitions du minimum
commun à retrouver dans nos annuaires
d'établissement (fin 2005)
4. Harmonisation du contenu de nos annuaires
(courant 2006)
5. Mise en production d'au moins un service mutualisé
(fin 2006)
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Action 2.1.1
• 1. Prise de connaissance
– Début 2007
• Le SSO c’est maintenant naturel
• La fédération monte en puissance
– Mais début 2005 !
• Le CRU débute sur le sujet (au sommaire de l’écho du CRU
n°3 de Mai 2005)
• Fort besoin d’expliquer, de montrer
– Aura un impact fort sur la suite (définition des besoins)
• Le tutoriel de JRES 2005 n’existe pas encore
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Action 2.1.1
• 2. Mise en place d'une maquette
–
–
–
–
Fédération de test
Deux IdP
Le service de test du CRU
La notion de fédération commence à être « un peu »
mieux comprise
• Mais la demande de service n’est pas encore pressante
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Action 2.1.1
• 3. Définitions du minimum commun à retrouver
dans les annuaires
– Identification
•
•
•
L'EPPN
Le displayName
L'Email
– Autorisation
• supannOrganisme
• eduPersonAffiliation
– Sémantique différente suivant les établissements
• Mais…
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Action 2.1.1
• Mais… il faudrait en plus :
– La composante pour un étudiant et/ou la structure
pour les personnels (supannAffectation)
(
•
•
•
La forme est différente suivant les établissements
Supann V1 parle seulement de texte libre !
Avoir un « arbre d’affectation » (UR1Æ957Æ57SI) serait plus
exploitable
• Supann V2 devrait être beaucoup plus claire (Type DN)
– Le code étape
• Quel attribut ?
– Le code élément pédagogique
• Quel attribut ? Volumétrie ?
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Action 2.1.1
• 4. Harmonisation du contenu de nos annuaires
– Attributs d’indentification (OK)
• EPPN (uid@domaine)
– Attributs d’autorisation
• Les formes restent très différentes (code, libellés, arbre de
codes)
• Les demandes de services manquent de maturité
– Les besoins fonctionnels ne sont pas assez précis
– Les applications ne sont pas nativement prévues pour cela. Le
besoin de les adapter n’a pas été pris en compte au départ.
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Action 2.1.1
• 5. Mise en production d'au moins un service
mutualisé
– Salles carrefour
– Moodle mutualisé pour échange entre les enseignants
• http://cnb-prof.univ-bretagne.fr/
• Reste un travail fonctionnel de paramétrage de l’autorisation,
d’adaptation de la charte graphique et de mise en ligne des
contenus
• Autorisation assez simple car de type tout ou rien
– Utilise un petit développement php « banché » dans le plugin
Shibboleth de Moodle
DEMO 1
DEMO 2
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Constat
• Identification
– Fonctionne, relativement simple à mettre en place
– Ne nécessite pratiquement pas de modification de l’application
• Remote user http est positionné automatiquement
• Autorisation
– Il semble difficile de pouvoir définir une sémantique commune
au niveau de la fédération
• Le SP doit pouvoir gérer des règles « évoluées »
– Nécessite souvent une modification en profondeur de
l’application
– La majorité des applications ne sont pas encore prévues pour
cela
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Projets en Bretagne
• 4 exemples :
– Identification
• Application de gestion du CIES grand ouest
• Application de gestion des inscriptions dans le supérieur en
Bretagne (Candisup – partie gestionnaire)
• Gestion de la valorisation de la recherche
– http://www.bretagne-valorisation.fr/
– Application du commerce
– Identification et autorisation
• Serveur ESUP WebDAV
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
ESUP WebDAV Server
• Adaptation shibboleth en cours dans le cadre du projet
ORI-OAI (http://ori-oai.org/)
• Développement d’un filtre J2EE pour transformer les
attributs shibboleth
– Pour placer les attributs shib en session si besoin, tester si
l’utilisateur est local, etc.
– Sera utilisé par les 4 projets cités
• Les droits sont donnés à des utilisateurs ou des groupes
(via une IHM de gestion des droits : Canal stockage ou
client compatible ACP)
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
ESUP WebDAV Server
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
ESUP WebDAV Server
• Les groupes sont les groupes du portail ou bien
des groupes basés sur des règles qui combinent
des attributs Shibboleth
– Ex : CRI_UR1_UR2 =
• (supannOrganisme={EES}0350936C et departmentnumber=957)
ou
(supannOrganisme={EES}0350937D et supannAffectation="Centre
de Ressources Informatiques")
– Utilisation de JSR 94 (JBOSS rules) pour avoir
•
•
•
Une définition des règles externe au code java
Une prise en compte dynamique des règles
Une meilleure adaptabilité
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)
Pour finir
• On compte utiliser l’IdP virtuel du CRU
– Ex : Accès aux services par les acteurs des grandes
écoles qui n’ont pas toutes l’infrastructure suffisante
(LDAP, IdP)
• Merci aux collègues du CRU pour
–
–
–
La mise en place de la fédération
La documentation et les tutoriaux
Leur aide lors des différentes étapes de la mise en
œuvre
Jeudi 25 janvier 2007
Université Numérique en Région Bretagne (UNRB)