I. Introduction

Procédure à destination de l'administrateur GEPI
pour utiliser GEPI
dans l'ENT ITOP du Conseil Général de l'Eure
I. Introduction
A compter de l'année scolaire 2013-2014, tous les collèges de l'Eure disposent d'un ENT.
Un dispositif d'authentification unique a été mis en place entre GEPI et l'ENT pour que les
utilisateurs n'aient qu'une authentification à faire. Les modalités de mise en oeuvre sont cependant
différentes entre les comptes élèves et parents d'un côté et personnels de l'établissement de l'autre.
L'administrateur des serveurs hébergeant Gepi (gepibox) a en principe effectué le paramétrage de
Gepi pour vous.
Si ce n'était pas le cas, ou si vous utilisez cette documentation dans une autre académie, une autre
configuration, le paramétrage à effectuer est expliqué en annexe.
Note :
Les noms de comptes dans l'ENT ne peuvent pas être choisis.
Ils différeront très probablement de vos noms de comptes d'utilisateurs dans Gepi, mais la
difficulté ne concernera que les personnels de l'établissement et pas les parents et élèves
comme vous le verrez plus loin.
I.1. Cas des élèves et parents
Les élèves et parents n'auront à connaître que leurs compte et mot de passe de l'ENT.
Leur compte dans Gepi devra exister et être actif, mais il ne leur sera pas communiqué.
C'est le mécanisme SSO qui leur donnera l'accès depuis l'ENT.
Note : Les élèves risquent d'avoir tout de même un autre couple compte/mot de passe pour se
connecter sur les machines du réseau pédagogique (SambaEdu3,…) de l'établissement.
I.2. Cas des personnels de l'établissement
Les personnels (sauf nouveaux arrivants dans l'établissement) disposent déjà d'un compte dans
Gepi. Ce compte reste valide et permet l'accès direct dans Gepi comme auparavant.
Ils auront un nouveau compte et mot de passe dans l'ENT.
Avec une augmentation progressive des usages liés aux services apportés par l'ENT, il serait
souhaitable que les personnels se connectent à l'ENT en priorité, puis à Gepi.
Un mécanisme est en place pour éviter cependant qu'une fois authentifié dans l'ENT, il faille se réauthentifier dans Gepi. Je détaille un peu plus loin le mécanisme qui diffère de celui des élèves et
parents.
Dans le cas où l'accès internet serait perturbé (et donc ENT injoignable), cette solution permettra
aux personnels de l'établissement de se connecter directement à Gepi, sans passer par l'ENT.
De cette façon, les saisies de Cahiers de textes, d'absences,... ne seront pas perturbées pour les
personnels dans l'établissement.
Note : Dans l'académie de Rouen, 'accès à Gepi peut être conservé si l'accès internet est perturbé
parce que les serveurs hébergeant Gepi sont dans l'établissement (en DMZ ; et la DMZ peut
documentation_gepi_ent_itop - 1/12
rester accessible, bien que l'accès internet fasse des siennes).
II. Initialisation de l'année dans Gepi
L'initialisation dans Gepi ne diffère pas de celle de l'année précédente.
L'essentiel de la documentation se trouve là :
http://www.sylogix.org/projects/gepi/wiki/GuideAdministrateur
Il convient de commencer par faire l'archivage de l'année passée si cela n'a pas été fait en juillet.
Cf. http://www.sylogix.org/projects/gepi/wiki/Avant_initialisation
En cas de doute, vous pouvez consulter, en administrateur, la liste des années archivées dans Gepi :
En page d'accueil :
Années antérieures
Gérer les années antérieures précédemment archivées.
Si le module Années antérieures n'est pas actif, vous pouvez l'activer en suivant :
Gestion des modules/Années antérieures/Activer
L'initialisation de l'année est ensuite détaillée à l'adresse suivante :
http://www.sylogix.org/projects/gepi/wiki/Initialisation_xml
L'initialisation est plus simple et rapide si l'emploi du temps a été remonté vers STS (même dans
une version élaguée pour que l'essentiel y soit ; et n'avoir que des ajustements à faire).
Dans le cas contraire, la documentation
http://www.sylogix.org/projects/gepi/wiki/Initialisation_xml
précise les modes alternatifs (à l'aide d'exports CSV de UnDeuxTemps ou de EDT, ou encore tout à
la main).
III. Création des comptes élèves et responsables dans Gepi
Lors de l'initialisation de l'année, si les élèves et parents disposaient d'un compte, il vous a été
proposé de le mettre en réserve pour remettre le même compte/mot_de_passe.
Que vous l'ayez fait ou non n'est pas très important puisque ces comptes Gepi ne serviront plus
directement aux élèves et parents qui se connecteront désormais via l'ENT.
Note : Ces comptes s'ils existent sont actuellement inactifs.
Attention : Avant de créer les nouveaux comptes responsables, il faut dédoublonner dans Sconet.
Il arrive assez souvent que lors de l'arrivée d'un élève en 6ème, deux nouveaux parents
soient saisis dans Sconet alors qu'il y existe déjà les parents du grand frère ou de la
grande sœur (en 5ème, 4ème ou 3ème). Dans l'ENT et dans Gepi, vous allez avoir deux
comptes pour chaque parent, chaque compte étant rattaché à l'un des enfants.
Pour éviter cela, le cheminement dans Sconet est :
Scolarité - Fiche élève- Doublons responsables - taper le nom - clic chercher Un tableau s'affiche. Cliquer sur rattacher ou supprimer, etc.
Les modifications effectuées dans Sconet seront prises en compte dans l'ENT la nuit
suivante.
Créez les comptes pour les nouveaux élèves et parents :
Gestion des bases/Comptes d'utilisateurs/Élèves/Ajouter de nouveaux comptes
documentation_gepi_ent_itop - 2/12
Dans le formulaire "Créer des comptes par lot", sélectionnez :
Authentification unique (SSO)
et
Toutes les classes
Et Validez.
Cliquez sur le lien Retour pour revenir à la liste des utilisateurs élèves.
Il reste à activer les comptes élèves qui existaient déjà l'an dernier et à en modifier le mode
d'authentification (pour les passer en SSO).
Sélectionnez dans le formulaire
Toutes les classes
Cochez
Modifier l'authentification
Sélectionnez
SSO (CAS, LCS, LemonLDAP)
et Validez.
Réitérez l'opération pour activer les comptes :
Sélectionnez dans le formulaire
Toutes les classes
Cochez
Rendre actif
et Validez.
Procédez de la même manière pour les comptes de parents (responsables).
A ce stade, les comptes élèves et parents existent et sont actifs.
Ils ont un mode d'authentification SSO, mais pas de mot de passe dans Gepi.
Ils ne permettent pas de se connecter directement dans Gepi.
Il faudra accéder à Gepi depuis l'ENT, une fois authentifié par l'ENT.
IV. Liaison ENT/Gepi et rapprochement des comptes
IV.1. Prérequis ENT
Il a été recommandé par l'équipe d'ITOP de faire des remontées régulières (même partielles) vers
Sconet/STS pour disposer d'informations correctes dans l'ENT et permettre l'accès aux utilisateurs.
Un point particulier simplifiant l'étape de rapprochement des comptes ENT/Gepi consiste à veiller à
ne pas avoir de doublons dans Sconet (ne pas avoir des parents déclarés autant de fois qu'ils ont
d'enfant dans l'établissement).
Un outil Sconet permet de dédoublonner. Veillez à l'utiliser avant de faire les rapprochements.
Le cheminement est :
Scolarité - Fiche élève- Doublons responsables - taper le nom - clic chercher Un tableau s'affiche. Cliquer sur rattacher ou supprimer, etc.
Les modifications effectuées dans Sconet seront prises en compte dans l'ENT la nuit suivante.
IV.2. Élèves et parents
documentation_gepi_ent_itop - 1/12
Vous allez exporter depuis l'ENT les informations qui permettront de faire le rapprochement entre
tel compte élève de l'ENT et tel compte élève de Gepi.
Cet export réalisé dans l'ENT, vous pourrez importer le fichier d'export dans Gepi pour réaliser les
rapprochements.
Vous procéderez ensuite de la même façon pour effectuer les rapprochements des comptes de
parents.
Note : Il faut commencer par les rapprochements élèves dans Gepi parce que l'export parents de
l'ENT utilise l'identifiant ENT élève pour faire le lien entre parents et enfants.
IV.2.a. Export CSV SSO depuis l'ENT
Sept.2014 : Le menu Gestion des utilisateurs a un peut changé. Refaire les images et modifier les
explications :
Pour l'export SSO : Administration/Comptes utilisateurs/Gérer les utilisateurs/Exports
Pour les mots de passe : Administration/Comptes utilisateurs/Gérer les traitements/Rapports des
traitements/Choisir le ou les traitements, puis en bas de page Publiposter les mots de passe/Au
format XLS
Connectez-vous en administrateur dans l'ENT.
1. Dans le menu de gauche, cliquez sur Administration.
2. Dans le menu déroulant, cliquez sur Gérer les utilisateurs
3. Cliquez ensuite sur Outils
4. Puis sur Traitements de masse
5. Choisissez Exportation SSO au format CSV
6. Sélectionnez le profil Élève
7. Cliquez sur Traiter cette action
documentation_gepi_ent_itop - 2/12
Il vous est demandé de confirmer.
Cliquez sur Valider et après quelques instants un message indique que l'export a été placé dans votre
espace Documents.
Réitérez l'opération pour exporter au format CSV les informations SSO pour les parents.
Accédez ensuite à votre espace Documents :
8. Cliquez sur Documents dans le menu de gauche
9. Cliquez une ou deux fois sur Modifié pour trier le tableau dans l'ordre chronologique et faire
apparaître en première position les derniers fichiers générés.
10. Effectuez un clic-droit/Enregistrer la cible du lien sous... pour télécharger le fichier élève dans le
dossier de votre choix.
Effectuez la même opération pour le fichier parents.
IV.2.b. Rapprochement des comptes dans Gepi
Connecté en administrateur dans Gepi, en page d'accueil, suivez
Liaison ENT/Importer un CSV élèves
Cliquez sur Parcourir et fournissez votre export SSO de l'ENT.
Cliquez sur Envoyer.
Un tableau des rapprochements s'affiche.
Cliquez sur la coche verte
pour Tout cocher dans la colonne Enregistrer.
Puis descendez en bas de page pour voir si des doublons ont été trouvés.
Si c'est le cas, il faudra identifier lequel des comptes de l'ENT est le bon.
Cliquez sur Enregistrer.
Seuls les comptes pour lesquels le compte Gepi a été identifié (colonne Login Gepi) auront leur
rapprochement effectué.
Réitérez l'opération une deuxième fois pour les élèves :
Importer un CSV élève
Fournissez le même fichier CSV.
Cela permet de consulter la liste des rapprochements non effectués lors de la première opération... et
documentation_gepi_ent_itop - 3/12
de chercher une solution.
Il se peut que certains comptes présents dans l'ENT soient associés à des élèves de l'an dernier.
Sinon, les champs de formulaire et icones de recherche (loupes
permettent d'identifier le login de l'utilisateur dans Gepi.
) dans la colonne 'Login Gepi'
Une fois les rapprochements élèves effectués, vous pourrez passer aux rapprochements parents de
façon analogue.
Note :
Le rapprochement des comptes ENT et des comptes Gepi peut être effectué autant de fois
que vous le souhaitez.
Lorsque vous fournissez un export CSV SSO de l'ENT, seuls les comptes ENT non encore
rapprochés d'un compte Gepi sont proposés. Les comptes déjà rapprochés ne sont pas
modifiés.
Si vous souhaitez corriger une association erronée, vous pouvez consulter les
rapprochements effectués précédemment de façon à en corriger ou en supprimer certains.
Les rapprochements supprimés (par exemple parce que vous aviez un doublon) permettront
un nouveau rapprochement lors de l'import CSV SSO suivant.
Il faudrait peut être écrire un paragraphe sur ce qu'il se passe concernant les comptes et les
rapprochements effectués l'année précédente par rapport aux manipulations à faire pour l'année en
cours...
Note à la lueur de l'expérience (sept.2014) : Les comptes ENT sont conservés d'une année sur l'autre
et les GUID ne changent pas. Il n'est donc pas utile de refaire les rapprochements.
IV.2.c. Distribuer les comptes/mots de passe ENT aux élèves et parents
Faut-il effectuer un export CSV des comptes/mots de passe dans l'ENT ?
Est-il possible de conserver les comptes ENT élèves et parents de l'année précédente pour éviter de
distribuer à nouveau des comptes et mots de passe ?
Note à la lueur de l'expérience (sept.2014) : Les comptes ENT sont conservés d'une année sur
l'autre.
Que faire pour les parents qui oublient leur compte et/ou mot de passe ? Un publipostage mail ?
Dans le premier cas, ce serait :
1. Dans le menu de gauche, cliquez sur Administration.
2. Dans le menu déroulant, cliquez sur Gérer les utilisateurs
3. Cliquez ensuite sur Outils
4. Puis sur Traitements de masse
5. Choisissez Re-générer les mots de passe Élèves
6. Sélectionnez le profil Élève
7. Cliquez sur Traiter cette action
Confirmer et récupérer le CSV dans l'espace Documents
La re-génération des mots de passe est un peu longue.
Soyez patient avant de consulter l'espace Documents.
documentation_gepi_ent_itop - 4/12
Vous pouvez ensuite utiliser ces exports CSV pour un publipostage.
Gepi permet dans
Liaison ENT/Générer des Fiches bienvenue
de générer des Fiches Bienvenue avec les informations de ces CSV de comptes/mots de passe.
IV.3. Personnels de l'établissement
Deux cas de figure peuvent se présenter :
• Vous utilisez une version récente de Gepi (supérieure ou égale à 1.6.5) et un dispositif
intégré à Gepi offre une solution d'accès de secours à Gepi quand l'ENT n'est pas joignable.
• Vous utilisez une version ancienne de Gepi (et vous devriez mettre à jour votre Gepi).
Dans ce cas, il faut utiliser l'ancien connecteur Itop.
Ce connecteur est appelé à disparaître parce que la société Itop ne souhaite pas maintenir
une multiplicité de connecteurs.
IV.3.a. Accès de secours avec un Gepi>=1.6.5
Avec Gepi en version>=1.6.5, une solution d'accès de secours est proposée quand l'ENT est
injoignable.
Cette solution permet de déclarer les comptes des personnels en mode d'authentification SSO.
Quand l'accès internet/ENT est opérationnel, les personnels se connectent dans l'ENT et de là
accèdent à Gepi comme les élèves et parents en cliquant sur un lien
https://SERVEUR_GEPI/CHEMIN_GEPI/login_sso.php et ils n'ont pas à se ré-authentifier.
Lorsque l'accès internet/ENT est perturbé, les personnels peuvent se connecter à Gepi via l'adresse
https://SERVEUR_GEPI/CHEMIN_GEPI/login.php?auth_sso_secours=y
Ils sont alors invité à saisir leurs compte local Gepi et mot de passe local Gepi (ceux qui sont dans
la base Gepi, contrairement aux compte/mot_de_passe ENT qui eux ne sont que dans l'ENT).
Ouverture de l'accès de secours :
Pour activer ce dispositif, il faut se connecter en administrateur dans Gepi et accéder à :
Gestion générale/Options de connexion
Dans la rubrique Mode d'authentification, sous-rubrique Accès de secours, cocher les case :
Ne pas vider les mots de passe dans la base Gepi lorsque l'on passe du mode d'authentification
'gepi' au mode 'sso'.
Et
Autoriser l'authentification par (compte;mot de passe) sur la base Gepi pour des comptes dont le
mode d'authentification est 'sso'.
Adaptez le message à afficher sur la page de connexion de cet accès de secours dans le champ
Message à afficher en page de login pour cet accès de secours
Et enfin cliquez sur
Valider
Un message d'alerte s'affiche :
Êtes-vous sûr de vouloir changer le mode d'authentification ?
Confirmer (*) en cliquant sur Ok.
documentation_gepi_ent_itop - 5/12
(*) Dans les faits, si vous n'avez fait que ce qui est indiqué ci-dessus, le mode d'authentification
n'est pas modifié. Seul un accès de secours est ouvert.
Remarques :
• La case Ne pas vider les mots de passe… permet aux utilisateurs de conserver leur ancien
mot de passe local Gepi pour l'accès de secours.
• A ce stade, les personnels qui disposaient déjà d'un compte dans Gepi en mode
d'authentification sur la base Gepi n'ont encore l'accès qu'en direct via l'adresse
https://SERVEUR_GEPI/CHEMIN_GEPI/login.php
Modification du mode d'authentification pour les personnels :
Pour
que
l'accès
ENT
vers
Gepi
fonctionne
(à
l'adresse
https://SERVEUR_GEPI/CHEMIN_GEPI/login_sso.php), il faut changer le mode d'authentification
pour les personnels (**).
(**) Il est recommandé de conserver un compte administrateur local Gepi, c'est-à-dire en
authentification sur la base Gepi (auth_mode gepi). Un tel compte permet de dépanner en cas
de problème.
Accédez en administrateur dans Gepi à :
Gestion des bases/Comptes d'utilisateurs/Personnels
Dans les liens sous l'entête, cliquez sur
Modif.par lots
Dans le formulaire "Action", cochez la case :
Modifier le mode d'authentification
sélectionnez
Authentification unique (SSO)
cochez les utilisateurs pour lesquels vous souhaitez modifier le mode d'authentification (***) et
cliquez enfin sur
Validez.
Si vous avez coché précédemment la case « Ne pas vider les mots de passe... », les personnels
peuvent maintenant se connecter depuis l'ENT en cliquant sur un lien
https://SERVEUR_GEPI/CHEMIN_GEPI/login_sso.php
Et en cas de soucis internet, l'accès de secours à Gepi se fait à l'adresse
https://SERVEUR_GEPI/CHEMIN_GEPI/login.php?auth_sso_secours=y
(***) Vous pouvez commencer par tester avec un compte.
Notes :
• Les utilisateurs conservent la possibilité de changer leur mot de passe, mais il n'y a pas de
synchronisation automatique entre le mot de passe ENT et le mot de passe local Gepi.
A l'utilisateur de mettre le même mot de passe, ou de faire travailler sa mémoire.
En cas d'oubli, il reste possible avec un compte administrateur de changer le mot de passe
d'un utilisateur via :
Gestion des bases/Comptes d'utilisateurs/Personnels
Un clic sur le Nom prénom de l'utilisateur puis sur Changer le mot de passe.
documentation_gepi_ent_itop - 6/12
•
Il faut adapter/créer des liens vers l'adresse SSO pour les élèves, responsables et personnels
dans l'ENT (menu Administration/Gérer le menu) :
Un lien vers https://SERVEUR_GEPI/CHEMIN_GEPI/login_sso.php
Pour l'accès de secours, il convient de disposer d'un lien vers l'adresse
https://SERVEUR_GEPI/CHEMIN_GEPI/login.php?auth_sso_secours=y
dans
les
favoris/marque-page de vos utilisateurs ou dans un portail local de l'établissement (cet accès
de secours est conçu pour permettre l'accès en cas de problème internet ; il ne faut donc pas
que le lien vers votre accès de secours soit sur une page nécessitant un accès internet
fonctionnel).
IV.3.b. Connecteur historique ITOP
Les personnels doivent lors de leur premier accès à Gepi depuis l'ENT renseigner un formulaire
avec leurs compte et mot de passe Gepi.
Connecté en professeur dans l'ENT, on trouve un lien Gepi dans le choix Applications du menu de
gauche :
Lors du premier accès à Gepi de cette façon, une fenêtre
d'association s'ouvre :
Le professeur doit y saisir ses compte et mot de passe Gepi et
Valider.
Cette association entre son compte ENT et le compte Gepi sera
enregistrée et les compte et mot de passe Gepi ne lui seront plus
demandés à l'avenir.
Notes :
– Il semblerait que le connecteur ITOP ne permette pas de prendre en compte un changement
de mot de passe côté Gepi.
A confirmer... et tenter le cas échéant d'obtenir une solution... (si un élève ou autre découvre
le compte/mot de passe Gepi d'un professeur, il faudra nécessairement changer le mot de
passe Gepi)
– Les comptes de personnels doivent être en Authentification locale (base GEPI).
– Ce connecteur (appelé à disparaître) présente quelques difficultés pour les professeurs
nouveaux arrivants.
Ils doivent gérer d'un coup deux nouveaux comptes et mots de passe.
Le fait qu'actuellement l'ENT ne permette pas de prendre en compte une modification de
documentation_gepi_ent_itop - 7/12
mot de passe côté Gepi complique les choses.
Il faut que le professeur :
– se connecte une première fois directement dans Gepi (sans passer par l'ENT)
– qu'il change son mot de passe Gepi (lors de la première connexion, c'est imposé)
– qu'ensuite seulement il se connecte via l'ENT pour accéder à Gepi.
Lors de cette première connexion via l'ENT, il devra fournir ses compte et mot de passe
Gepi.
documentation_gepi_ent_itop - 8/12
Annexes
Paramétrages de Gepi
Des paramétrages préalables à la mise en œuvre de la liaison entre l'ENT et Gepi doivent être
effectués :
– Prérequis :
– Dans le cas où l'établissement dispose à la fois d'un serveur LCS et d'un serveur
Gepibox, l'établissement doit passer en Adressage privé (contacter l'Assistance
informatique du Rectorat (CARIINA)).
– Un certificat SSL signé par l'Éducation Nationale doit être réclamé à l'Assistance
informatique du Rectorat (CARIINA).
– Faire apparaître le menu Liaison ENT sur la page d'accueil de l'administrateur :
Accéder à :
Gestion générale/Options de connexion
Dans le formulaire ENT en bas de page, cocher
Liaison ENT pour l'ENT Netcollege
Et cliquer sur Enregistrer.
Si ce formulaire est absent, c'est que vous utilisez une version de Gepi trop âgée.
Il faudrait mettre à jour, mais vous pouvez faire apparaître manuellement ce menu en
effectuant l'insertion d'un enregistrement dans la base (cela peut se faire par upload et
restauration d'un fichier SQL dans Gestion générale/Sauvegarde et restauration).
La requête est :
UPDATE setting SET value='y' WHERE name='use_ent';
Par précaution, on peut faire :
DELETE FROM setting WHERE name='use_ent';
INSERT INTO setting SET name='use_ent', value='y';
– Renseigner le fichier secure/config_cas.inc.php dans l'arborescence Gepi :
$cas_host = "cas.enteduc.fr";
$cas_port = "443";
$cas_root = "cas";
– Dans Gepi :
– Créer un compte administrateur local (auth_mode=gepi), s'il n'en existe pas déjà, pour
permettre une connexion hors ENT.
– Accéder à Gestion générale/Options de connexion :
– Conserver la coche sur :
Authentification autonome (sur la base de données de Gepi)
pour permettre la connexion hors ENT.
– Cocher:
Modes d'authentification/Service d'authentification unique/CAS
– Cocher plus bas
Sessions SSO CAS uniquement : utiliser une table de correspondance .
– et
Valider
documentation_gepi_ent_itop - 9/12
– Avec une vieille version de Gepi, il y avait un connecteur à mettre en place pour l'accès de
secours pour les personnels.
Voir le paragraphe IV.3.a
Si vous avez une vieille version de Gepi ou si vous souhaitez utiliser l'ancien connecteur :
Mettre en place le connecteur ENT côté Gepi :
Il s'agit d'un dossier fourni par ITOP, qu'il faut mettre en place à la racine de l'arborescence
Gepi.
Une clé doit être choisie et les adresses IP de serveurs CAS fournies par ITOP doivent être
inscrites dans un fichier de configuration.
Pour contrôler que le nécessaire pour le fonctionnement du connecteur ENT (pour les
personnels) est en place, visiter la page :
https://nom_serveur/chemin_gepi/ent/ent_login_form.php?test_conf=oui
– L'adresse DNS du Gepi (https://nom_serveur/chemin_gepi), la clé choisie et la version de
Gepi doivent être envoyés à ITOP ([email protected]) pour permettre le fonctionnement
du connecteur Gepi.
Configurer le connecteur historique Itop
Si vous avez un Gepi en version antérieure à 1.6.5 (*),...
A mettre en forme/reprendre
Pour l'ancien connecteur Itop, il faut mettre en place le dossier ent à
la racine de Gepi d'après le zip proposé par Itop.
Effectuer un choix de clé dans le fichier
ent/include/ent_config.php
Contrôler que tout est bien en place pour la communication avec le serveur:
https://CHEMIN_GEPI/ent/ent_login_form.php?test_conf=oui
Puis envoyer au support ITOP la clé pour que la communication/cryptage fonctionne.
(*) Les mises à jour de versions âgées de Gepi risquent de ne pas être assurées. Vous devriez mettre
à jour.
documentation_gepi_ent_itop - 10/12