Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Séminaire Aristote Sécurité et Mobilité Retour sur les déploiements eduroam et Fédération Éducation/Recherche 7 février2013

Agenda La communauté RENATER L offre de service La mobilité numérique avec la Fédération Éducation/Recherche La mobilité réseau avec eduroam Conclusion

La communauté RENATER

La communauté des utilisateurs 1/2 Le BRGM : Bureau de la Recherche Géologique et Minière Le CEA : Commissariat à l Energie Atomique IRSTEA : Institut National de Recherche en Sciences et Technologies pour l environnement et l agriculture Le CIRAD : le Centre de coopération Internationale en Recherche Agronomique pour le Développement Le CNES : Centre National d Etudes Spatiales Le CNRS : Centre National de la Recherche Scientifique La CPU : La Conférence des Présidents d Université L INRA : Institut National de la Recherche Agronomique INRIA : Institut National de Recherche en Informatique et Automatique L INSERM : Institut National de la Santé et de la Recherche Médicale L IRD : Institut de recherche pour le développement Le Ministère de l Education nationale : Ministère de l Education nationale Le Ministère de l Enseignement Supérieur et de la Recherche : Ministère de l Enseignement Supérieur et de la Recherche L ONERA : le centre français de recherche aérospatiale

La communauté des utilisateurs 2/2 Etablissements d enseignement ou de recherche relevant d autres tutelles (industrie, culture, agriculture, défense ) Fondations impliquées dans la recherche (Institut Curie, Institut Pasteur ) Grands établissements (CSI, IRCAM ) 1400+ sites 2+ Mutilisateurs

6 L offre RENATER

L offre RENATER Une infrastructure réseau Un portefeuille de services pour l enseignement et la recherche Services réseaux Services applicatifs La sécurité

Une couverture réseau complète Quelques chiffres 11900km de fibre optiques, 72 points de présence (NR) Réseau: 125 longueurs d onde 10G Trafic: connectivité extérieure cumulée de près de 200Gbit/s, 100+Po échangés avec l extérieur en 2012 1400+ prises en France métropolitaine et DOM/TOMs Des services très utilisés 10 000 certificats électroniques délivrés au total 30 000 appels téléphoniques/an Antispam pour 800 000 comptes de messagerie, 2 000 000 d emails filtrés par jour Accès WIFI eduroam : plus de 150 établissements opérationnels, 50 000 requêtes/jour en France Près de 20000 visioconférence RMS et EVO par an Le service de listes de diffusion Universalistes : 400 000 abonnés

Réseau QoS Multicast DNS L3VPN IPv4 L2VPN Lambda 10GE IPv6 Circuits Allocation IP Mobilité Eduspot eduroam Wi-Fi 802.1X Voix et images Gatekeeper ToIP IPBX H323 MCU EVO Middleware Edugain SAML Shiboleth Fédération Education- Recherche Sécurité Applicatifs Universalistes SourceSup Anti-spam Anti-virus Sympa Metaliste Sécurité CERT Certificats serveurs Certificats de personne TCS

La mobilité numérique : La Fédération Education/Recherche 10

Le contexte : Le paysage de l enseignement supérieur et de la recherche se consolide Les réseaux autorisent désormais l accès massif aux ressources distantes De plus en plus d utilisateurs utilisent les services de plusieurs organisations Offres de services mutualisées de plus en plus nombreuses (PRES, UNR, ) De plus en plus de mutualisations au niveau national Comment passer à l échelle pour l authentification et l accès?

La Fédération Education-Recherche Infrastructure nationale Pour authentification web Mécanismes de fédération d identités Utilisant le logiciel Shibboleth Implémente le protocole SAML

Fédération / comment ça marche?

Fédération / précisions Les mots de passe ne circulent pas Juste une preuve d authentification Authentification ET attributs utilisateurs Utiles pour contrôle d accès et personnalisation On ne réinvente rien Branchement CAS et LDAP On est interopérable Protocole SAML On contrôle les échanges On peut restreindre le cercle de confiance

Les comptes CRU Comptes Réseaux Universels IdP ouvert à tous les utilisateurs : Création du compte en quelques minutes Sans formalités Ne nécessite qu une adresse électronique valide Permet d accéder aux (nombreux) services qui les acceptent Mais Pas de vérification de l identité

Fédération / Pour faire quoi? Ressources documentaires E-learning Accès Wi-Fi Applications métier mutualisées Applications et services nationaux (dont RENATER) Extranet Distribution de logiciels

Fédération / Qui l utilise? En France (février 2013) 169 fournisseurs d identités 337 ressources enregistrées Des ressources locales non enregistrées RENATER Migration progressive de tous les services (portails, visio, groupware ) vers une authentification fédérée Dans d'autres pays https://federation.renater.fr/docs/autres_federations Interopérables dans le cadre du projet européen edugain

Initiative européenne d inter-fédération Ouverte aux fédérations non européennes Favorise l échange et l accès à des ressources internationales Norme SAML 2 Fédération Education-Recherche en cours d intégration (cible mi 2013)

Etat du déploiement dans le monde (février 2013)

Fédération / sujets en cours Amélioration d ergonomie à apporter Intégration en mode SSO dans les ENT Qualité des référentiels d identité utilisés pour les IDP En liaison avec l activité SupAnn de normalisation des annuaires de la communauté E/R Concentration des risques sur les IDP (identity provider) Développement d IDP avec authentification multi-facteurs Extensions internationales : edugain

La mobilité réseau : 21

Le contexte : Différentes opérations nationales ont développé l utilisation du WIFI pour les étudiants, les chercheurs et les personnels L utilisation d un ordinateur portable pendant les réunions est désormais banalisé (y compris pour le chat en support de la visio) Les collaborations entre établissements se multiplient, les personnels se déplacent Les cursus communs se multiplient, les étudiants se déplacent Comment fournir l accès WIFI partout et pour tous sans multiplier l effort correspondant?

eduroam pour l utilisateur E/R C est une connexion Wi-Fi Sécurisée (802.1x) Utilisable dans son établissement d origine Utilisable dans d autres établissements Utilisable à l étranger Saisie de son login habituel Configuration initiale du client (PC/mac/tablette/smartphone )

eduroam en 1:31 min www.eduroam.org http://vimeo.com/32210851

eduroam / où l utiliser? >150 établissements français membres ~300 sites déclarés 100.000 logins inter-etab en octobre 2010 Europe 36 pays couverts 800+ organisations membres 4500 sites déclarés Monde 54 pays Près de 6000 sites

eduroam / où l utiliser? >150 établissements français membres ~300 sites déclarés 100.000 logins inter-etab en octobre 2010 Europe 36 pays couverts 800+ org membres 4500 sites déclarés Monde 54 pays Près de 6000 sites

eduroam / qui fait quoi? L infrastructure internationale Europe, USA, Canada, Asie Serveur radius racine Organisation financée par l UE dans le cadre du projet GN3 eduroam en France Opéré par RENATER Un service radius proxy national (redondé) Les établissements Opèrent un serveur radius pour leurs utilisateurs Proposent des points d accès Wi-Fi

eduroam / comment ça marche? référentiel utilisateurs chiffré 802.1x Radius radius crous eduroam.fr univ-xx.fr eduroam.de univ-xx.de

eduroam / utilisation en mobilité Accès inter-établissement par minute Augmentation visible sur 12 mois

eduroam / sujets en cours Homogénéité des protocoles d authentification 802.1x Co-existence (ou pas) de TTLS et PEAP sur les sites En cours d harmonisation http://www.eduroam.fr/monitoring/monitoring.html Configuration des postes clients Déploiement imminent d un service de configuration au niveau européen https://cat-test.eduroam.org/ Filtrages mis en œuvre sur les accès eduroam Préconisation pour les sites https://services.renater.fr/ssi/_media/cert/pf-wifi-v6-1f.pdf Extension d eduroam vers des réseaux d opérateurs Support à l utilisateur To do (better)

Bonus! L accès réseau nomade grâce à la Fédération Education/Recherche 31

eduspot pourquoi? eduroam ne répond pas à 100% des besoins Situation selon les établissements eduroam pour tout le monde eduroam pour enseignants et personnel Pas d eduroam Les autres solutions Wi-Fi De type portails captifs Authentification locale (LDAP, CAS) fédérée (Shibboleth)

Fonctionnement fournisseur d identités univ-xx.fr Non chiffré Portail + SP Shibboleth fournisseur d identités Univ-yy.fr

vs. eduroam eduspot Sécurité Flux radio chiffré (802.1x) Flux radio non chiffré Authentification EAP / Radius (via proxies éventuellement) Fédération d identités (échange direct utilisateuridp) Configuration Configuration du poste utilisateur Aucune (lancement navigateur) Contraintes architecture Ergonomie Serveur radius + raccordement au proxy Transparent (modulo profil standard) Portail + white list + SP Shibboleth Pas de configuration du poste. Plusieurs clics. Partage session ENT Couverture Internationale (arbre) Nationale (cercle de confiance) Comptes invités Envisageable Envisageable

Principaux enseignements Pour les services à l utilisateur final, le passage à l échelle dans la communauté E/R nécessite une organisation répartie La publicité du monitoring des services distribués favorise l implication des acteurs locaux L accompagnement de l utilisateur final reste un défi à relever à tous les niveaux Le contexte (plateformes collaboratives, visio, BYOD, équipes réparties, services mutualisés ) et plus que jamais demandeur d outils pour la mobilité. Dès les freins techniques levés, l adhésion à ces services est toute naturelle pour les utilisateurs!

Merci de votre attention! www.renater.fr