Gestion des accès, fédération d identités. Olivier Salaün - RENATER

Transcription

1 Gestion des accès, fédération d identités Olivier Salaün - RENATER

2 La fédération d'identités? mécanisme standardisé de délégation d'authentification pour l'accès à des ressources numériques (web) très utilisé dans la communauté éducation/recherche en France et ailleurs

3 Décryptage Shibboleth logiciel implémentant la fédération d'identités SAML protocole standard utilisé Fédération Education-Recherche Infrastructure nationale de fédération d'identités RENATER opérateur de la Fédération Education-Recherche

4 Le contrôle d'accès fédéré 1. l'utilisateur accède au site de l'éditeur 2. invitation à s'authentifier 3. sélection de son pays/ établissement 4. authentification auprès de son établissement (serveur CAS + Shibboleth) 5. transmission d'attributs utilisateurs exemple : identifiant opaque + statut ou autorisation 6. accès à la ressource

5 Usage de la fédération d'identités nombreuses applications : e- learning, outils collaboratifs, Wi-Fi, distribution de logiciels, applications métier. documentation électronique : 2 types d'usage 1. accès "fédéré" aux ressources fédération de bout en bout nécessite implémentation SAML côté éditeur 2. mode d'authentification pour accès à un reverse proxy fédération puis autres modes de contrôles d'accès Fédéra3on ressource numérique proxy Autres (IP, etc)

6 Apports de la fédération d'identités identification utilisateur mais maintient anonymat contenus personalisables un éditeur peut signaler un abus authentification au plus tard adapté aux usages nomades pas de modification des URLs contrairement à un reverse-proxy permet l'accès via des moteurs de recherche

7 Mettre en oeuvre la fédération d'identités côté éditeur 1. implémentation SAML (Shibboleth par exemple) 2. inscription dans la Fédération Education- Recherche côté établissement 1. configuration technique diffusion attributs utilisateurs 2. publication lien direct dans ENT + information utilisateurs

8 Les éditeur inscrits 1/2 Editeur inscrip3on admin inscrip3on tech Associa'on for Compu'ng Machinery Avril 2012 BioOne Aout 2011 Brill Aout 2010 Sept 2010 Cairn Avril 2009 Mai 2009 Cambridge University Press Avril 2009 Oct 2009 Classique Garnier Aout 2009 Aout 2009 Dawson Juin 2009 Juillet 2009 EBSCO Avril 2009 Mai 2009 Elsevier Mars 2009 Mars 2009 HighWire Mars 2010 Avril 2010 Immateriel Avril 2009 IOP Aout 2009 Aout 2009

9 Les éditeur inscrits 2/2 Editeur inscrip3on admin inscrip3on tech JStor Sept 2010 Lexis Nexis Juin 2009 Juin 2009 MetaPress Aour 2009 Déc 2009 Ovid Janv 2009 Mars 2009 Project Muse Nov 2012 ProQuest Mars 2010 Mars 2011 Royal Society Déc 2009 Avr 2010 (via HighWire) Royal Society of Chemistry Fev 2012 Juin 2012 Springer Aout 2012 Oct 2012 Taylor and Francis Mai 2010 Thomson Reuters Aout 2010 Janv 2011 Wiley Fev 2010 Sept 2011

10 Les ressources disponibles Liste publiée sur le site de la Fédération participants/ressources

11 Contrôle d'accès et attributs utilisateurs attributs utilisables = eduperson + supann les attributs généralement utilisés par les éditeurs type d'utilisateur (edupersonaffiliation) ex : student, researcher, etc autorisation d'accès (edupersonentitlement) ex : urn:mace:dir:entitlement:common-lib-terms permet un accès à des populations ciblées identifiant opaque (edupersontargetedid) ex : jn0zrsmilma/yagatj9ymtbdzy8 problématique des données à caractère personnel soucis hors UE contrat ou recueil consentement utilisateurs

12 Fédération d'identités et statistiques moyens de constituer des statistiques d'usage demander à l'éditeur (COUNTER) analyser les accès de nos utilisateurs nécessite une architecture en rupture de flux proxy et reverse-proxy architecture fédérée de bout en bout pas de proxy entre le poste utilisateur et l'éditeur statistique de l'évènement d'authentification uniquement outil Raptor, développé par JISC (Grande-Bretagne)

13 Point sur l'utilisation échanges complexes avec les éditeurs articulation avec Couperin et homologues étrangers participent à plusieurs fédérations, dans différents pays besoins attributs utilisateurs ergonomie ( institutional login ) recherchent établissements pour tests mise en oeuvre dans vos établissements? pas de visibilité sur le niveau d'utilisation important pour RENATER

14 Merci la Fédération Education-Recherche nous contacter fiche "documentation électronique" docelec nos formations index des questions?