Présentation de Shibboleth - journée fédération, 25 Janvier 2007 1
Com
itéR
éseau des Universités
Présentation deShibboleth
Journée d’information sur la fédération du CRU,
25 Janvier 2007
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 2
Com
itéR
éseau des Universités
Intérêt
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 3
Com
itéR
éseau des Universités
Beaucoup de ressources web, autant de mots de passe
Webmail
Intranet
Listes de diffusion
Ressources documentaires
Cours en ligne
Applications métiers
Extranet
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 4
Com
itéR
éseau des Universités
La démarche ENT a amélioré les choses…
Webmail
Intranet
Listes de diffusion
Ressources documentaires
Cours en ligne
Applications métiers
Extranet
SSO
ENT
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 5
Com
itéR
éseau des Universités
Comment authentifier des utilisateurs quand on ne les gère pas ?
• Le compte invité– Un seul mot de passe pour
tout le monde• L’identification du poste
– L’enfer des plages d’adresse IP
• L’enregistrement local– Un effort démesuré
• Le méta-annuaire– Un seul ne suffira pas
Ressources documentaires
Cours en ligne
Extranet
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 6
Com
itéR
éseau des Universités
La fédération d’identités doit permettre de rendre ces accès simples et sûrs
Webmail Intranet
Listes de diffusion
Ressources documentaires
Cours en ligne
Applications métiers
Extranet
SSO
ENT
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 7
Com
itéR
éseau des Universités
Des cas d’utilisation
• Contrôle d’accès en fonction du profil de l’utilisateur– Exemple : étudiant en pharmacie
• Intranet pour un groupe de travail– Chercheur, étudiants, association, informaticiens
• Accès aux périodiques électroniques depuis un ENT– Science Direct, JSTOR, …
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 8
Com
itéR
éseau des Universités
Fonctionnement
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 9
Com
itéR
éseau des Universités
Le SSO de l'établissement est prolongé vers l'extérieur
Cours en ligne dans un autre établissement
Établissement de rattachement
de l’étudiant
1
3
2
4
1. Tentative d’accès à la ressource
2. Redirection vers le SSO de l’établissement de rattachement
3. Authentification sur le SSO
4. Redirection vers la ressource avec une preuve d’authentification
SSO
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 10
Com
itéR
éseau des Universités
Des attributs d’un utilisateur peuvent être propagés vers les ressources
Cours en ligne dans un autre établissement
Établissement de rattachement
de l’étudiant
1
3
2
4
5. Demande d’attribut sur l’utilisateur
6. Extraction des attributs
7. Propagation vers la ressource
5 7
6
Référentiels
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 11
Com
itéR
éseau des Universités
Les nouvelles briques pour la fédération d’identités
Cours en ligne dans un autre établissement
Établissement de rattachement
de l’étudiant1. Le fournisseur d’identités
2. Le fournisseur de services
3. Le service de découverte
4. Échanges au format SAML
Référentiels
SSO
IdP1
WAYF3SP2
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 12
Com
itéR
éseau des Universités
Le Service de découverteou Where Are You From (WAYF)
• La partie visible de l’iceberg– La seul brique de Shibboleth avec laquelle
l’usager interagit directement• Objectif
– Orienter l’utilisateur vers son fournisseur d’identités
• Localisation– Au plus près du fournisseur de services
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 13
Com
itéR
éseau des Universités
Fonctionement du WAYF
WAYF
IdP 1
IdP 2
IdP 3
SP
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 14
Com
itéR
éseau des Universités
L’établissement choisit les attributs qu’il propage, selon la ressource
Intranet d’un groupe de travail
Établissement de rattachement
Cours en ligne dans un autre établissement
Périodiques électroniques(prestataire privé)
NomPrénomEmail
EtapeDiscipline
Statut(étudiant,Personnel)
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 15
Com
itéR
éseau des Universités
Apports de la fédération d’identités
• Pour l’utilisateur– Il n’utilise que le mot de passe de son SSO– Adapté aux utilisateurs nomades
• Pour l’établissement de rattachement– Niveau de sécurité constant (SSO)– Meilleure maîtrise des données personnelles
• Pour les gestionnaires de ressources– Plus besoin de gérer des comptes utilisateurs– Accès à des données utilisateurs fiables
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 16
Com
itéR
éseau des Universités
Shibboleth
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 17
Com
itéR
éseau des Universités • Logiciel « open source »
• Issu du monde universitaire– USA, Internet 2
• Basé sur la norme SAML• Utilisé dans d’autres pays
– en production en Suisse, USA, Angleterre, Finlande, Australie, Suède
– en cours de déploiement en Belgique, Allemagne, Danemark, Slovénie, République Tchèque
http://shibboleth.internet2.edu
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 18
Com
itéR
éseau des Universités
Shibboleth est une solution peu intrusive
• Conçu pour s’intégrer dans des SI très variés– pas de pré requis sur le système
d’authentification– exploitation de sources de données variées
• Forme une colle entre des SI et des ressources très hétérogènes
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 19
Com
itéR
éseau des Universités
Des briques techniques multi plateformes• Fournisseur d’identités :
– servlet Java
• Fournisseurs de services : – module Apache ou IIS– Des RPMs disponibles
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 20
Com
itéR
éseau des Universités
Intégration au SI
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 21
Com
itéR
éseau des Universités
Le fournisseur d’identitésIntégration avec le SSO
• Choix du SSO : CAS ou autre système• Localisation : même serveur ou pas• Fonctionnement : partage la session avec le
SSO• Charge de travail
– Installation 1 seule fois– Temps installation < semaine (en moyenne)– Configuration pour chaque SP (attributs)
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 22
Com
itéR
éseau des Universités
Le fournisseur d’identitésBranchement avec les référentiels
• Connecteurs disponibles– JNDI (annuaire LDAP)– JDBC (bases SQL métiers)– Sources extensibles
• SupAnn = langage commun de la fédération du CRU
• Possibilités de « mapping »– Des noms d’attributs– De la valeur des attributs
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 23
Com
itéR
éseau des Universités
Le fournisseur de servicesIntégration
• Différents niveaux d’intégration1. Authentification uniquement (identifiant)2. Utilisation des attributs utilisateur (roles
applicatifs)3. Le WAYF peut être assuré par l’application
• Travail comparable à une « CASification »• De nombreuses applications déjà
compatibles
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 24
Com
itéR
éseau des Universités
Les applications déjà « shibbolisées »http://shibboleth.internet2.edu/seas.html
• Blackboard• Moodle• OLAT• Webassign• WebCT• Confluence Wiki• Media Wiki• Twiki• Fedora• Horde
• eAcademia• MyProxy• Napster• Microsoft
SharePoint• Sympa• Symplicity• uPortal• Zope Plone• …
• ArtSTOR• CSA• Digitalbrain PLC• EBSCO publish.• ExLibris SFX• ILIAS• JSTOR• NSDL• OCLC• Ovid Tech.• Thomson Gale
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 25
Com
itéR
éseau des Universités
Pour commencer, concrètement…
• Documentations en Français sur le site du CRU (http://federation.cru.fr)
• Une fédération de test
• Support – Liste : [email protected]– Contact : [email protected]– Actualité : http://www.cru.fr/echo
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 26
Com
itéR
éseau des Universités
Formation « mise en place de Shibboleth »
• Formation CiRen, organisée par Renater• 6 et 7 mars 2007, Montpellier• Public visé :
– Enseignement supérieur– Personnes chargées de la mise en place d’un
fournisseur d’identités Shibboleth• Nombre de places : 20 ou 40 places
http://www.renater.fr/spip/spip.php?article535
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 27
Com
itéR
éseau des Universités
en bref…
• Shibboleth, technologie pivot• Dans la continuité des ENT• Ouvre des perspectives de collaboration• Intérêt croissant des Universités• Pas seulement en France• Pas seulement pour la documentation
électronique
Top Related