Gestion des accès, fédération d`identités

Gestion des accès,
fédération d’identités
Olivier Salaün - RENATER
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
La fédération
d'identités ?
•  mécanisme standardisé de délégation
d'authentification
•  pour l'accès à des ressources numériques
(web)
•  très utilisé dans la communauté
éducation/recherche
•  en France et ailleurs
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Décryptage
•  Shibboleth
–  logiciel implémentant la fédération d'identités
•  SAML
–  protocole standard utilisé
•  Fédération Education-Recherche
–  Infrastructure nationale de fédération d'identités
•  RENATER
–  opérateur de la Fédération Education-Recherche
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Le contrôle d'accès
“fédéré”
1.  l'utilisateur accède au site de
l'éditeur
2.  invitation à s'authentifier
3.  sélection de son pays/
établissement
4.  authentification auprès de son
établissement (serveur CAS +
Shibboleth)
5.  transmission d'attributs
utilisateurs
–  exemple : identifiant opaque +
statut ou autorisation
6.  accès à la ressource
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Usage de la fédération
d'identités
•  nombreuses applications : elearning, outils collaboratifs, Wi-Fi,
distribution de logiciels, applications
métier.
•  documentation électronique : 2
types d'usage
proxy 1.  accès "fédéré" aux ressources
•  fédération de bout en bout
•  nécessite implémentation SAML côté
éditeur
ressource numérique 2.  mode d'authentification pour accès
à un reverse proxy
•  fédération puis autres modes de
contrôles d'accès
Fédéra3on Autres (IP, etc) Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Apports de la fédération
d'identités
•  identification utilisateur mais maintient
anonymat
–  contenus personalisables
–  un éditeur peut signaler un abus
•  authentification au plus tard
•  adapté aux usages nomades
–  pas de modification des URLs
–  contrairement à un reverse-proxy
–  permet l'accès via des moteurs de recherche
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Mettre en oeuvre la
fédération d'identités
•  côté éditeur
1.  implémentation SAML (Shibboleth par
exemple)
2.  inscription dans la Fédération EducationRecherche
•  côté établissement
1.  configuration technique diffusion attributs
utilisateurs
2.  publication lien direct dans ENT +
information utilisateurs
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Les éditeur inscrits 1/2
Editeur inscrip3on admin Associa'on for Compu'ng Machinery Avril 2012 BioOne Aout 2011 Brill Aout 2010 Sept 2010 Cairn Avril 2009 Mai 2009 Cambridge University Press Avril 2009 Oct 2009 Classique Garnier Aout 2009 Aout 2009 Dawson Juin 2009 Juillet 2009 EBSCO Avril 2009 Mai 2009 Elsevier Mars 2009 Mars 2009 HighWire Mars 2010 Avril 2010 Immateriel Avril 2009 IOP Aout 2009 Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
inscrip3on tech Aout 2009 Les éditeur inscrits 2/2
Editeur inscrip3on admin inscrip3on tech JStor Sept 2010 Lexis Nexis Juin 2009 Juin 2009 MetaPress Aour 2009 Déc 2009 Ovid Janv 2009 Mars 2009 Project Muse Nov 2012 ProQuest Mars 2010 Mars 2011 Royal Society Déc 2009 Avr 2010 (via HighWire) Royal Society of Chemistry Fev 2012 Juin 2012 Springer Aout 2012 Oct 2012 Taylor and Francis Mai 2010 Thomson Reuters Aout 2010 Janv 2011 Wiley Fev 2010 Sept 2011 Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Les ressources
disponibles
•  Liste publiée sur le site de la Fédération
–  https://services.renater.fr/federation/
participants/ressources
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Contrôle d'accès et
attributs utilisateurs
•  attributs utilisables = eduPerson + supAnn
•  les attributs généralement utilisés par les éditeurs
–  type d'utilisateur (eduPersonAffiliation)
•  ex : “student”, “researcher”, etc
–  autorisation d'accès (eduPersonEntitlement)
•  ex : urn:mace:dir:entitlement:common-lib-terms
•  permet un accès à des populations ciblées
–  identifiant opaque (eduPersonTargetedId)
•  ex : jn0zrsMilMa/YAGATJ9yMtBdZy8
•  problématique des données à caractère personnel
–  soucis hors UE
–  contrat ou recueil consentement utilisateurs
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Fédération d'identités et
statistiques
•  moyens de constituer des statistiques
d'usage
–  demander à l'éditeur (COUNTER)
–  analyser les accès de nos utilisateurs
•  nécessite une architecture en “rupture de flux”
•  proxy et reverse-proxy
•  architecture “fédérée” de bout en bout
–  pas de proxy entre le poste utilisateur et l'éditeur
–  statistique de l'évènement d'authentification
uniquement
•  outil Raptor, développé par JISC (Grande-Bretagne)
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Point sur l'utilisation
•  échanges complexes avec les éditeurs
–  articulation avec Couperin et homologues
étrangers
–  participent à plusieurs fédérations, dans différents
pays
–  besoins attributs utilisateurs
–  ergonomie (“institutional login”)
–  recherchent établissements pour tests
•  mise en oeuvre dans vos établissements ?
–  pas de visibilité sur le niveau d'utilisation
–  important pour RENATER
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012
Merci
•  la Fédération Education-Recherche
–  https://services.renater.fr/federation
•  nous contacter
–  [email protected]
•  fiche "documentation électronique"
–  https://services.renater.fr/federation/docs/fiches/
docelec
•  nos formations
–  https://services.renater.fr/federation/formations/
index
•  des questions ?
Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012