I. Introduction
Transcription
I. Introduction
Procédure à destination de l'administrateur GEPI pour utiliser GEPI dans l'ENT ITOP du Conseil Général de l'Eure I. Introduction A compter de l'année scolaire 2013-2014, tous les collèges de l'Eure disposent d'un ENT. Un dispositif d'authentification unique a été mis en place entre GEPI et l'ENT pour que les utilisateurs n'aient qu'une authentification à faire. Les modalités de mise en oeuvre sont cependant différentes entre les comptes élèves et parents d'un côté et personnels de l'établissement de l'autre. L'administrateur des serveurs hébergeant Gepi (gepibox) a en principe effectué le paramétrage de Gepi pour vous. Si ce n'était pas le cas, ou si vous utilisez cette documentation dans une autre académie, une autre configuration, le paramétrage à effectuer est expliqué en annexe. Note : Les noms de comptes dans l'ENT ne peuvent pas être choisis. Ils différeront très probablement de vos noms de comptes d'utilisateurs dans Gepi, mais la difficulté ne concernera que les personnels de l'établissement et pas les parents et élèves comme vous le verrez plus loin. I.1. Cas des élèves et parents Les élèves et parents n'auront à connaître que leurs compte et mot de passe de l'ENT. Leur compte dans Gepi devra exister et être actif, mais il ne leur sera pas communiqué. C'est le mécanisme SSO qui leur donnera l'accès depuis l'ENT. Note : Les élèves risquent d'avoir tout de même un autre couple compte/mot de passe pour se connecter sur les machines du réseau pédagogique (SambaEdu3,…) de l'établissement. I.2. Cas des personnels de l'établissement Les personnels (sauf nouveaux arrivants dans l'établissement) disposent déjà d'un compte dans Gepi. Ce compte reste valide et permet l'accès direct dans Gepi comme auparavant. Ils auront un nouveau compte et mot de passe dans l'ENT. Avec une augmentation progressive des usages liés aux services apportés par l'ENT, il serait souhaitable que les personnels se connectent à l'ENT en priorité, puis à Gepi. Un mécanisme est en place pour éviter cependant qu'une fois authentifié dans l'ENT, il faille se réauthentifier dans Gepi. Je détaille un peu plus loin le mécanisme qui diffère de celui des élèves et parents. Dans le cas où l'accès internet serait perturbé (et donc ENT injoignable), cette solution permettra aux personnels de l'établissement de se connecter directement à Gepi, sans passer par l'ENT. De cette façon, les saisies de Cahiers de textes, d'absences,... ne seront pas perturbées pour les personnels dans l'établissement. Note : Dans l'académie de Rouen, 'accès à Gepi peut être conservé si l'accès internet est perturbé parce que les serveurs hébergeant Gepi sont dans l'établissement (en DMZ ; et la DMZ peut documentation_gepi_ent_itop - 1/12 rester accessible, bien que l'accès internet fasse des siennes). II. Initialisation de l'année dans Gepi L'initialisation dans Gepi ne diffère pas de celle de l'année précédente. L'essentiel de la documentation se trouve là : http://www.sylogix.org/projects/gepi/wiki/GuideAdministrateur Il convient de commencer par faire l'archivage de l'année passée si cela n'a pas été fait en juillet. Cf. http://www.sylogix.org/projects/gepi/wiki/Avant_initialisation En cas de doute, vous pouvez consulter, en administrateur, la liste des années archivées dans Gepi : En page d'accueil : Années antérieures Gérer les années antérieures précédemment archivées. Si le module Années antérieures n'est pas actif, vous pouvez l'activer en suivant : Gestion des modules/Années antérieures/Activer L'initialisation de l'année est ensuite détaillée à l'adresse suivante : http://www.sylogix.org/projects/gepi/wiki/Initialisation_xml L'initialisation est plus simple et rapide si l'emploi du temps a été remonté vers STS (même dans une version élaguée pour que l'essentiel y soit ; et n'avoir que des ajustements à faire). Dans le cas contraire, la documentation http://www.sylogix.org/projects/gepi/wiki/Initialisation_xml précise les modes alternatifs (à l'aide d'exports CSV de UnDeuxTemps ou de EDT, ou encore tout à la main). III. Création des comptes élèves et responsables dans Gepi Lors de l'initialisation de l'année, si les élèves et parents disposaient d'un compte, il vous a été proposé de le mettre en réserve pour remettre le même compte/mot_de_passe. Que vous l'ayez fait ou non n'est pas très important puisque ces comptes Gepi ne serviront plus directement aux élèves et parents qui se connecteront désormais via l'ENT. Note : Ces comptes s'ils existent sont actuellement inactifs. Attention : Avant de créer les nouveaux comptes responsables, il faut dédoublonner dans Sconet. Il arrive assez souvent que lors de l'arrivée d'un élève en 6ème, deux nouveaux parents soient saisis dans Sconet alors qu'il y existe déjà les parents du grand frère ou de la grande sœur (en 5ème, 4ème ou 3ème). Dans l'ENT et dans Gepi, vous allez avoir deux comptes pour chaque parent, chaque compte étant rattaché à l'un des enfants. Pour éviter cela, le cheminement dans Sconet est : Scolarité - Fiche élève- Doublons responsables - taper le nom - clic chercher Un tableau s'affiche. Cliquer sur rattacher ou supprimer, etc. Les modifications effectuées dans Sconet seront prises en compte dans l'ENT la nuit suivante. Créez les comptes pour les nouveaux élèves et parents : Gestion des bases/Comptes d'utilisateurs/Élèves/Ajouter de nouveaux comptes documentation_gepi_ent_itop - 2/12 Dans le formulaire "Créer des comptes par lot", sélectionnez : Authentification unique (SSO) et Toutes les classes Et Validez. Cliquez sur le lien Retour pour revenir à la liste des utilisateurs élèves. Il reste à activer les comptes élèves qui existaient déjà l'an dernier et à en modifier le mode d'authentification (pour les passer en SSO). Sélectionnez dans le formulaire Toutes les classes Cochez Modifier l'authentification Sélectionnez SSO (CAS, LCS, LemonLDAP) et Validez. Réitérez l'opération pour activer les comptes : Sélectionnez dans le formulaire Toutes les classes Cochez Rendre actif et Validez. Procédez de la même manière pour les comptes de parents (responsables). A ce stade, les comptes élèves et parents existent et sont actifs. Ils ont un mode d'authentification SSO, mais pas de mot de passe dans Gepi. Ils ne permettent pas de se connecter directement dans Gepi. Il faudra accéder à Gepi depuis l'ENT, une fois authentifié par l'ENT. IV. Liaison ENT/Gepi et rapprochement des comptes IV.1. Prérequis ENT Il a été recommandé par l'équipe d'ITOP de faire des remontées régulières (même partielles) vers Sconet/STS pour disposer d'informations correctes dans l'ENT et permettre l'accès aux utilisateurs. Un point particulier simplifiant l'étape de rapprochement des comptes ENT/Gepi consiste à veiller à ne pas avoir de doublons dans Sconet (ne pas avoir des parents déclarés autant de fois qu'ils ont d'enfant dans l'établissement). Un outil Sconet permet de dédoublonner. Veillez à l'utiliser avant de faire les rapprochements. Le cheminement est : Scolarité - Fiche élève- Doublons responsables - taper le nom - clic chercher Un tableau s'affiche. Cliquer sur rattacher ou supprimer, etc. Les modifications effectuées dans Sconet seront prises en compte dans l'ENT la nuit suivante. IV.2. Élèves et parents documentation_gepi_ent_itop - 1/12 Vous allez exporter depuis l'ENT les informations qui permettront de faire le rapprochement entre tel compte élève de l'ENT et tel compte élève de Gepi. Cet export réalisé dans l'ENT, vous pourrez importer le fichier d'export dans Gepi pour réaliser les rapprochements. Vous procéderez ensuite de la même façon pour effectuer les rapprochements des comptes de parents. Note : Il faut commencer par les rapprochements élèves dans Gepi parce que l'export parents de l'ENT utilise l'identifiant ENT élève pour faire le lien entre parents et enfants. IV.2.a. Export CSV SSO depuis l'ENT Sept.2014 : Le menu Gestion des utilisateurs a un peut changé. Refaire les images et modifier les explications : Pour l'export SSO : Administration/Comptes utilisateurs/Gérer les utilisateurs/Exports Pour les mots de passe : Administration/Comptes utilisateurs/Gérer les traitements/Rapports des traitements/Choisir le ou les traitements, puis en bas de page Publiposter les mots de passe/Au format XLS Connectez-vous en administrateur dans l'ENT. 1. Dans le menu de gauche, cliquez sur Administration. 2. Dans le menu déroulant, cliquez sur Gérer les utilisateurs 3. Cliquez ensuite sur Outils 4. Puis sur Traitements de masse 5. Choisissez Exportation SSO au format CSV 6. Sélectionnez le profil Élève 7. Cliquez sur Traiter cette action documentation_gepi_ent_itop - 2/12 Il vous est demandé de confirmer. Cliquez sur Valider et après quelques instants un message indique que l'export a été placé dans votre espace Documents. Réitérez l'opération pour exporter au format CSV les informations SSO pour les parents. Accédez ensuite à votre espace Documents : 8. Cliquez sur Documents dans le menu de gauche 9. Cliquez une ou deux fois sur Modifié pour trier le tableau dans l'ordre chronologique et faire apparaître en première position les derniers fichiers générés. 10. Effectuez un clic-droit/Enregistrer la cible du lien sous... pour télécharger le fichier élève dans le dossier de votre choix. Effectuez la même opération pour le fichier parents. IV.2.b. Rapprochement des comptes dans Gepi Connecté en administrateur dans Gepi, en page d'accueil, suivez Liaison ENT/Importer un CSV élèves Cliquez sur Parcourir et fournissez votre export SSO de l'ENT. Cliquez sur Envoyer. Un tableau des rapprochements s'affiche. Cliquez sur la coche verte pour Tout cocher dans la colonne Enregistrer. Puis descendez en bas de page pour voir si des doublons ont été trouvés. Si c'est le cas, il faudra identifier lequel des comptes de l'ENT est le bon. Cliquez sur Enregistrer. Seuls les comptes pour lesquels le compte Gepi a été identifié (colonne Login Gepi) auront leur rapprochement effectué. Réitérez l'opération une deuxième fois pour les élèves : Importer un CSV élève Fournissez le même fichier CSV. Cela permet de consulter la liste des rapprochements non effectués lors de la première opération... et documentation_gepi_ent_itop - 3/12 de chercher une solution. Il se peut que certains comptes présents dans l'ENT soient associés à des élèves de l'an dernier. Sinon, les champs de formulaire et icones de recherche (loupes permettent d'identifier le login de l'utilisateur dans Gepi. ) dans la colonne 'Login Gepi' Une fois les rapprochements élèves effectués, vous pourrez passer aux rapprochements parents de façon analogue. Note : Le rapprochement des comptes ENT et des comptes Gepi peut être effectué autant de fois que vous le souhaitez. Lorsque vous fournissez un export CSV SSO de l'ENT, seuls les comptes ENT non encore rapprochés d'un compte Gepi sont proposés. Les comptes déjà rapprochés ne sont pas modifiés. Si vous souhaitez corriger une association erronée, vous pouvez consulter les rapprochements effectués précédemment de façon à en corriger ou en supprimer certains. Les rapprochements supprimés (par exemple parce que vous aviez un doublon) permettront un nouveau rapprochement lors de l'import CSV SSO suivant. Il faudrait peut être écrire un paragraphe sur ce qu'il se passe concernant les comptes et les rapprochements effectués l'année précédente par rapport aux manipulations à faire pour l'année en cours... Note à la lueur de l'expérience (sept.2014) : Les comptes ENT sont conservés d'une année sur l'autre et les GUID ne changent pas. Il n'est donc pas utile de refaire les rapprochements. IV.2.c. Distribuer les comptes/mots de passe ENT aux élèves et parents Faut-il effectuer un export CSV des comptes/mots de passe dans l'ENT ? Est-il possible de conserver les comptes ENT élèves et parents de l'année précédente pour éviter de distribuer à nouveau des comptes et mots de passe ? Note à la lueur de l'expérience (sept.2014) : Les comptes ENT sont conservés d'une année sur l'autre. Que faire pour les parents qui oublient leur compte et/ou mot de passe ? Un publipostage mail ? Dans le premier cas, ce serait : 1. Dans le menu de gauche, cliquez sur Administration. 2. Dans le menu déroulant, cliquez sur Gérer les utilisateurs 3. Cliquez ensuite sur Outils 4. Puis sur Traitements de masse 5. Choisissez Re-générer les mots de passe Élèves 6. Sélectionnez le profil Élève 7. Cliquez sur Traiter cette action Confirmer et récupérer le CSV dans l'espace Documents La re-génération des mots de passe est un peu longue. Soyez patient avant de consulter l'espace Documents. documentation_gepi_ent_itop - 4/12 Vous pouvez ensuite utiliser ces exports CSV pour un publipostage. Gepi permet dans Liaison ENT/Générer des Fiches bienvenue de générer des Fiches Bienvenue avec les informations de ces CSV de comptes/mots de passe. IV.3. Personnels de l'établissement Deux cas de figure peuvent se présenter : • Vous utilisez une version récente de Gepi (supérieure ou égale à 1.6.5) et un dispositif intégré à Gepi offre une solution d'accès de secours à Gepi quand l'ENT n'est pas joignable. • Vous utilisez une version ancienne de Gepi (et vous devriez mettre à jour votre Gepi). Dans ce cas, il faut utiliser l'ancien connecteur Itop. Ce connecteur est appelé à disparaître parce que la société Itop ne souhaite pas maintenir une multiplicité de connecteurs. IV.3.a. Accès de secours avec un Gepi>=1.6.5 Avec Gepi en version>=1.6.5, une solution d'accès de secours est proposée quand l'ENT est injoignable. Cette solution permet de déclarer les comptes des personnels en mode d'authentification SSO. Quand l'accès internet/ENT est opérationnel, les personnels se connectent dans l'ENT et de là accèdent à Gepi comme les élèves et parents en cliquant sur un lien https://SERVEUR_GEPI/CHEMIN_GEPI/login_sso.php et ils n'ont pas à se ré-authentifier. Lorsque l'accès internet/ENT est perturbé, les personnels peuvent se connecter à Gepi via l'adresse https://SERVEUR_GEPI/CHEMIN_GEPI/login.php?auth_sso_secours=y Ils sont alors invité à saisir leurs compte local Gepi et mot de passe local Gepi (ceux qui sont dans la base Gepi, contrairement aux compte/mot_de_passe ENT qui eux ne sont que dans l'ENT). Ouverture de l'accès de secours : Pour activer ce dispositif, il faut se connecter en administrateur dans Gepi et accéder à : Gestion générale/Options de connexion Dans la rubrique Mode d'authentification, sous-rubrique Accès de secours, cocher les case : Ne pas vider les mots de passe dans la base Gepi lorsque l'on passe du mode d'authentification 'gepi' au mode 'sso'. Et Autoriser l'authentification par (compte;mot de passe) sur la base Gepi pour des comptes dont le mode d'authentification est 'sso'. Adaptez le message à afficher sur la page de connexion de cet accès de secours dans le champ Message à afficher en page de login pour cet accès de secours Et enfin cliquez sur Valider Un message d'alerte s'affiche : Êtes-vous sûr de vouloir changer le mode d'authentification ? Confirmer (*) en cliquant sur Ok. documentation_gepi_ent_itop - 5/12 (*) Dans les faits, si vous n'avez fait que ce qui est indiqué ci-dessus, le mode d'authentification n'est pas modifié. Seul un accès de secours est ouvert. Remarques : • La case Ne pas vider les mots de passe… permet aux utilisateurs de conserver leur ancien mot de passe local Gepi pour l'accès de secours. • A ce stade, les personnels qui disposaient déjà d'un compte dans Gepi en mode d'authentification sur la base Gepi n'ont encore l'accès qu'en direct via l'adresse https://SERVEUR_GEPI/CHEMIN_GEPI/login.php Modification du mode d'authentification pour les personnels : Pour que l'accès ENT vers Gepi fonctionne (à l'adresse https://SERVEUR_GEPI/CHEMIN_GEPI/login_sso.php), il faut changer le mode d'authentification pour les personnels (**). (**) Il est recommandé de conserver un compte administrateur local Gepi, c'est-à-dire en authentification sur la base Gepi (auth_mode gepi). Un tel compte permet de dépanner en cas de problème. Accédez en administrateur dans Gepi à : Gestion des bases/Comptes d'utilisateurs/Personnels Dans les liens sous l'entête, cliquez sur Modif.par lots Dans le formulaire "Action", cochez la case : Modifier le mode d'authentification sélectionnez Authentification unique (SSO) cochez les utilisateurs pour lesquels vous souhaitez modifier le mode d'authentification (***) et cliquez enfin sur Validez. Si vous avez coché précédemment la case « Ne pas vider les mots de passe... », les personnels peuvent maintenant se connecter depuis l'ENT en cliquant sur un lien https://SERVEUR_GEPI/CHEMIN_GEPI/login_sso.php Et en cas de soucis internet, l'accès de secours à Gepi se fait à l'adresse https://SERVEUR_GEPI/CHEMIN_GEPI/login.php?auth_sso_secours=y (***) Vous pouvez commencer par tester avec un compte. Notes : • Les utilisateurs conservent la possibilité de changer leur mot de passe, mais il n'y a pas de synchronisation automatique entre le mot de passe ENT et le mot de passe local Gepi. A l'utilisateur de mettre le même mot de passe, ou de faire travailler sa mémoire. En cas d'oubli, il reste possible avec un compte administrateur de changer le mot de passe d'un utilisateur via : Gestion des bases/Comptes d'utilisateurs/Personnels Un clic sur le Nom prénom de l'utilisateur puis sur Changer le mot de passe. documentation_gepi_ent_itop - 6/12 • Il faut adapter/créer des liens vers l'adresse SSO pour les élèves, responsables et personnels dans l'ENT (menu Administration/Gérer le menu) : Un lien vers https://SERVEUR_GEPI/CHEMIN_GEPI/login_sso.php Pour l'accès de secours, il convient de disposer d'un lien vers l'adresse https://SERVEUR_GEPI/CHEMIN_GEPI/login.php?auth_sso_secours=y dans les favoris/marque-page de vos utilisateurs ou dans un portail local de l'établissement (cet accès de secours est conçu pour permettre l'accès en cas de problème internet ; il ne faut donc pas que le lien vers votre accès de secours soit sur une page nécessitant un accès internet fonctionnel). IV.3.b. Connecteur historique ITOP Les personnels doivent lors de leur premier accès à Gepi depuis l'ENT renseigner un formulaire avec leurs compte et mot de passe Gepi. Connecté en professeur dans l'ENT, on trouve un lien Gepi dans le choix Applications du menu de gauche : Lors du premier accès à Gepi de cette façon, une fenêtre d'association s'ouvre : Le professeur doit y saisir ses compte et mot de passe Gepi et Valider. Cette association entre son compte ENT et le compte Gepi sera enregistrée et les compte et mot de passe Gepi ne lui seront plus demandés à l'avenir. Notes : – Il semblerait que le connecteur ITOP ne permette pas de prendre en compte un changement de mot de passe côté Gepi. A confirmer... et tenter le cas échéant d'obtenir une solution... (si un élève ou autre découvre le compte/mot de passe Gepi d'un professeur, il faudra nécessairement changer le mot de passe Gepi) – Les comptes de personnels doivent être en Authentification locale (base GEPI). – Ce connecteur (appelé à disparaître) présente quelques difficultés pour les professeurs nouveaux arrivants. Ils doivent gérer d'un coup deux nouveaux comptes et mots de passe. Le fait qu'actuellement l'ENT ne permette pas de prendre en compte une modification de documentation_gepi_ent_itop - 7/12 mot de passe côté Gepi complique les choses. Il faut que le professeur : – se connecte une première fois directement dans Gepi (sans passer par l'ENT) – qu'il change son mot de passe Gepi (lors de la première connexion, c'est imposé) – qu'ensuite seulement il se connecte via l'ENT pour accéder à Gepi. Lors de cette première connexion via l'ENT, il devra fournir ses compte et mot de passe Gepi. documentation_gepi_ent_itop - 8/12 Annexes Paramétrages de Gepi Des paramétrages préalables à la mise en œuvre de la liaison entre l'ENT et Gepi doivent être effectués : – Prérequis : – Dans le cas où l'établissement dispose à la fois d'un serveur LCS et d'un serveur Gepibox, l'établissement doit passer en Adressage privé (contacter l'Assistance informatique du Rectorat (CARIINA)). – Un certificat SSL signé par l'Éducation Nationale doit être réclamé à l'Assistance informatique du Rectorat (CARIINA). – Faire apparaître le menu Liaison ENT sur la page d'accueil de l'administrateur : Accéder à : Gestion générale/Options de connexion Dans le formulaire ENT en bas de page, cocher Liaison ENT pour l'ENT Netcollege Et cliquer sur Enregistrer. Si ce formulaire est absent, c'est que vous utilisez une version de Gepi trop âgée. Il faudrait mettre à jour, mais vous pouvez faire apparaître manuellement ce menu en effectuant l'insertion d'un enregistrement dans la base (cela peut se faire par upload et restauration d'un fichier SQL dans Gestion générale/Sauvegarde et restauration). La requête est : UPDATE setting SET value='y' WHERE name='use_ent'; Par précaution, on peut faire : DELETE FROM setting WHERE name='use_ent'; INSERT INTO setting SET name='use_ent', value='y'; – Renseigner le fichier secure/config_cas.inc.php dans l'arborescence Gepi : $cas_host = "cas.enteduc.fr"; $cas_port = "443"; $cas_root = "cas"; – Dans Gepi : – Créer un compte administrateur local (auth_mode=gepi), s'il n'en existe pas déjà, pour permettre une connexion hors ENT. – Accéder à Gestion générale/Options de connexion : – Conserver la coche sur : Authentification autonome (sur la base de données de Gepi) pour permettre la connexion hors ENT. – Cocher: Modes d'authentification/Service d'authentification unique/CAS – Cocher plus bas Sessions SSO CAS uniquement : utiliser une table de correspondance . – et Valider documentation_gepi_ent_itop - 9/12 – Avec une vieille version de Gepi, il y avait un connecteur à mettre en place pour l'accès de secours pour les personnels. Voir le paragraphe IV.3.a Si vous avez une vieille version de Gepi ou si vous souhaitez utiliser l'ancien connecteur : Mettre en place le connecteur ENT côté Gepi : Il s'agit d'un dossier fourni par ITOP, qu'il faut mettre en place à la racine de l'arborescence Gepi. Une clé doit être choisie et les adresses IP de serveurs CAS fournies par ITOP doivent être inscrites dans un fichier de configuration. Pour contrôler que le nécessaire pour le fonctionnement du connecteur ENT (pour les personnels) est en place, visiter la page : https://nom_serveur/chemin_gepi/ent/ent_login_form.php?test_conf=oui – L'adresse DNS du Gepi (https://nom_serveur/chemin_gepi), la clé choisie et la version de Gepi doivent être envoyés à ITOP ([email protected]) pour permettre le fonctionnement du connecteur Gepi. Configurer le connecteur historique Itop Si vous avez un Gepi en version antérieure à 1.6.5 (*),... A mettre en forme/reprendre Pour l'ancien connecteur Itop, il faut mettre en place le dossier ent à la racine de Gepi d'après le zip proposé par Itop. Effectuer un choix de clé dans le fichier ent/include/ent_config.php Contrôler que tout est bien en place pour la communication avec le serveur: https://CHEMIN_GEPI/ent/ent_login_form.php?test_conf=oui Puis envoyer au support ITOP la clé pour que la communication/cryptage fonctionne. (*) Les mises à jour de versions âgées de Gepi risquent de ne pas être assurées. Vous devriez mettre à jour. documentation_gepi_ent_itop - 10/12