Gestion des accès, fédération d`identités
Transcription
Gestion des accès, fédération d`identités
Gestion des accès, fédération d’identités Olivier Salaün - RENATER Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 La fédération d'identités ? • mécanisme standardisé de délégation d'authentification • pour l'accès à des ressources numériques (web) • très utilisé dans la communauté éducation/recherche • en France et ailleurs Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Décryptage • Shibboleth – logiciel implémentant la fédération d'identités • SAML – protocole standard utilisé • Fédération Education-Recherche – Infrastructure nationale de fédération d'identités • RENATER – opérateur de la Fédération Education-Recherche Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Le contrôle d'accès “fédéré” 1. l'utilisateur accède au site de l'éditeur 2. invitation à s'authentifier 3. sélection de son pays/ établissement 4. authentification auprès de son établissement (serveur CAS + Shibboleth) 5. transmission d'attributs utilisateurs – exemple : identifiant opaque + statut ou autorisation 6. accès à la ressource Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Usage de la fédération d'identités • nombreuses applications : elearning, outils collaboratifs, Wi-Fi, distribution de logiciels, applications métier. • documentation électronique : 2 types d'usage proxy 1. accès "fédéré" aux ressources • fédération de bout en bout • nécessite implémentation SAML côté éditeur ressource numérique 2. mode d'authentification pour accès à un reverse proxy • fédération puis autres modes de contrôles d'accès Fédéra3on Autres (IP, etc) Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Apports de la fédération d'identités • identification utilisateur mais maintient anonymat – contenus personalisables – un éditeur peut signaler un abus • authentification au plus tard • adapté aux usages nomades – pas de modification des URLs – contrairement à un reverse-proxy – permet l'accès via des moteurs de recherche Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Mettre en oeuvre la fédération d'identités • côté éditeur 1. implémentation SAML (Shibboleth par exemple) 2. inscription dans la Fédération EducationRecherche • côté établissement 1. configuration technique diffusion attributs utilisateurs 2. publication lien direct dans ENT + information utilisateurs Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Les éditeur inscrits 1/2 Editeur inscrip3on admin Associa'on for Compu'ng Machinery Avril 2012 BioOne Aout 2011 Brill Aout 2010 Sept 2010 Cairn Avril 2009 Mai 2009 Cambridge University Press Avril 2009 Oct 2009 Classique Garnier Aout 2009 Aout 2009 Dawson Juin 2009 Juillet 2009 EBSCO Avril 2009 Mai 2009 Elsevier Mars 2009 Mars 2009 HighWire Mars 2010 Avril 2010 Immateriel Avril 2009 IOP Aout 2009 Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 inscrip3on tech Aout 2009 Les éditeur inscrits 2/2 Editeur inscrip3on admin inscrip3on tech JStor Sept 2010 Lexis Nexis Juin 2009 Juin 2009 MetaPress Aour 2009 Déc 2009 Ovid Janv 2009 Mars 2009 Project Muse Nov 2012 ProQuest Mars 2010 Mars 2011 Royal Society Déc 2009 Avr 2010 (via HighWire) Royal Society of Chemistry Fev 2012 Juin 2012 Springer Aout 2012 Oct 2012 Taylor and Francis Mai 2010 Thomson Reuters Aout 2010 Janv 2011 Wiley Fev 2010 Sept 2011 Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Les ressources disponibles • Liste publiée sur le site de la Fédération – https://services.renater.fr/federation/ participants/ressources Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Contrôle d'accès et attributs utilisateurs • attributs utilisables = eduPerson + supAnn • les attributs généralement utilisés par les éditeurs – type d'utilisateur (eduPersonAffiliation) • ex : “student”, “researcher”, etc – autorisation d'accès (eduPersonEntitlement) • ex : urn:mace:dir:entitlement:common-lib-terms • permet un accès à des populations ciblées – identifiant opaque (eduPersonTargetedId) • ex : jn0zrsMilMa/YAGATJ9yMtBdZy8 • problématique des données à caractère personnel – soucis hors UE – contrat ou recueil consentement utilisateurs Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Fédération d'identités et statistiques • moyens de constituer des statistiques d'usage – demander à l'éditeur (COUNTER) – analyser les accès de nos utilisateurs • nécessite une architecture en “rupture de flux” • proxy et reverse-proxy • architecture “fédérée” de bout en bout – pas de proxy entre le poste utilisateur et l'éditeur – statistique de l'évènement d'authentification uniquement • outil Raptor, développé par JISC (Grande-Bretagne) Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Point sur l'utilisation • échanges complexes avec les éditeurs – articulation avec Couperin et homologues étrangers – participent à plusieurs fédérations, dans différents pays – besoins attributs utilisateurs – ergonomie (“institutional login”) – recherchent établissements pour tests • mise en oeuvre dans vos établissements ? – pas de visibilité sur le niveau d'utilisation – important pour RENATER Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012 Merci • la Fédération Education-Recherche – https://services.renater.fr/federation • nous contacter – [email protected] • fiche "documentation électronique" – https://services.renater.fr/federation/docs/fiches/ docelec • nos formations – https://services.renater.fr/federation/formations/ index • des questions ? Gestion des accès, fédération d’identités – Carrefour de l’IST, novembre 2012