L hébergement d IdP par RENATER



Documents pareils
Retour sur les déploiements eduroam et Fédération Éducation/Recherche

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

JOSY. Paris - 4 février 2010

Cahier des charges fonctionnel

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin

REAUMUR-ACO-PRES. Wifi : Point et perspectives

La gestion des identités au CNRS Le projet Janus

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Samson BISARO Christian MAILLARD

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

d authentification SSO et Shibboleth

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

ACCÈS AUX RESSOURCES NUMÉRIQUES

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

UCOPIA EXPRESS SOLUTION

La gamme express UCOPIA.

UCOPIA SOLUTION EXPRESS

Gestion d identités PSL Installation IdP Authentic

Linux Expo Gestion des Identités et des Accès. Le 16 mars Arismore

Configuration du WiFi à l'ensmm

La solution ucopia advance La solution ucopia express

les secteurs ucopia

Annuaire LDAP, SSO-CAS, ESUP Portail...

ENVOLE 1.5. Calendrier Envole

La gestion des identités dans l'éducation Nationale, état des lieux et perspectives

Architecture réseaux Nouveau schéma directeur

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

Evidian Secure Access Manager Standard Edition

Introduction. aux architectures web. de Single Sign-On

Messagerie & accès Internet

Contrôle d accès Centralisé Multi-sites

Formation fédération d identités Jour 1

L informatique à l UTC

L externalisation de vos logiciels entreprises : une solution aux problèmes de coûts, de sécurités et de réactivités

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

APPEL D OFFRES PRESTATION ARCHITECTE IDENTITY ACCESS MANAGMENT DSI PAP DOCUMENT DE CONSULTATION 14 OCTOBRE 2014

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Tour d horizon des différents SSO disponibles

Authentifications à W4 Engine en.net (SSO)

La version conviviale de l E.N.T. Les informations des responsables et des eleves

Règlement pour les fournisseurs de SuisseID

Evolutions du guichet de la fédération et gestion des métadonnées SAML

Solutions Microsoft Identity and Access

Single Sign-on (Gestion des accès sécurisés)

SuisseID Mon «moi numérique»

SAML et services hors web

Mise en place d'un serveur d'application SIG au Conseil général de Seine-et-Marne

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Introduction aux architectures web de Single Sign-on

Authentification unique Eurécia

Groupe Eyrolles, 2004 ISBN :

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Introduction à la gestion d identité. Bruno Bonfils <asyd@asyd.net> RMLL, 10 Juillet 2009

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

CRI-IUT 2004 Le Creusot. Introduction aux Espaces Numériques de Travail d après Alain Mayeur JRES 2003 de Lille

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Soutenance de projet. Mise en place d une solution de reporting

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Livre blanc UCOPIA. La mobilité à la hauteur des exigences professionnelles

Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM)

Cloud Computing, Informatique en nuage, UnivCloud, Datacenters, SI, Iaas, Paas, Saas, fonction support, technologies, Innovations.

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

La fédération d identité Contexte, normes, exemples

LICENCE PROFESSIONNELLE

Manuel d installation UCOPIA Advance

Solutions de gestion de la sécurité Livre blanc

Configuration du FTP Isolé Active Directory

Les Utilisateurs dans SharePoint

Configuration pour la connexion au réseau eduroam sous l environnement Windows XP (SP3) et Windows 7&8 au personnel de l IN2P3

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

«Ré-inventer le browser d'entreprise pour assurer sa sécurité au coeur du Cloud Computing»

Authentification unifiée Unix/Windows

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

1.2 - Historique : de la ferme de blogs aux Carnets 2 Descartes

2. Réservation d une visioconférence

VISIOCONFÉRENCE AVEC RENATER

Solution intégrée de gestion des ressources humaines. Kelio Integral

Matrice snapshot Jacquelin Charbonnel ANF RNBM - Marseille, 23 mai 2013

Fédération d'identités et propagation d'attributs avec Shibboleth

L offre de formation 2014 INSET de Dunkerque

AMUE : PRISME - Référentiel des données partagées. 3 décembre 2009

Les Ressources Numériques à Dauphine

Cahier des charges - Refonte du site internet rennes.fr

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

Créer une connexion entre Sage CRM et Sage Etendue pour émettre directement des devis et commandes

Intégration d'un moteur de workflow dans le SI : Dématérialisation des Ordres de misson

Le projet d'annuaire LDAP à Rennes 1. - Raymond Bourges - Gérard Delpeuch

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

Accès à la messagerie électronique HES

Espaces Pédagogiques Pour les Universités Numériques. Un Espace Numérique de Travail centré sur l utilisateur

Transcription:

L hébergement d IdP par RENATER Anass Chabli RENATER c/o CRI Campus de Beaulieu, Bat 12 D 263, Avenue du Gal Leclerc CS 74205 35042 RENNES Cedex France Résumé Actuellement, pour utiliser les ressources accessibles via la fédération Éducation-Recherche et notamment les services proposés par RENATER, (RENdez-vous, FileSender, RENAvisio, Universalistes, etc.), les sites doivent être raccordés à la fédération Éducation-Recherche et doivent déployer et configurer dans leurs établissements un fournisseur d identités. Les petites structures sont découragées par ce déploiement pour des raisons budgétaires, techniques ou organisationnelles et sont ainsi dans l incapacité d utiliser les services de la fédération Éducation-Recherche. Avec l offre d hébergement d IdP les fournisseurs d identités sont déployés, configurés et hébergés par RENATER. Tous les aspects technologiques (monitoring et mises à jour) sont inclus dans l offre. Le service permet non seulement d héberger des fournisseurs d identités, mais aussi éventuellement un annuaire LDAP comme référentiel utilisateurs de l établissement. Les établissements disposent d un accès Web à cet annuaire permettant d ajouter, de supprimer et de définir des utilisateurs et leurs droits. Mots-clefs IdP, hébergement, fournisseur d identités, fédération, shibboleth, OpenLdap, RENATER, LDAP 1 Introduction Le service d hébergement d IdP de RENATER permet aux organismes membres de la fédération Éducation-Recherche d externaliser le déploiement et la configuration d un fournisseur d identités, Identity Provider en anglais, dénommé IdP dans la suite de l article. Ce service est principalement à destination des structures qui ne peuvent pas opérer un fournisseur d identités en interne, pour des raisons budgétaires, techniques ou organisationnelles. L exposé présentera l architecture mise en œuvre pour déployer le service d hébergement d IdP, les différentes méthodes et outils mis en place pour garantir la disponibilité quasi permanente du service, ainsi que les modalités d accès au service. En fin de document seront décrites les éventuelles évolutions de l offre d hébergement d IdP. JRES 2015 - Montpellier 1/6

2 La Fédération Éducation-Recherche 2.1 Acteurs et organisation La fédération Éducation-Recherche est un cadre organisationnel et technique qui permet de valoriser ou d élargir le cercle d utilisateurs en donnant accès aux ressources des établissements de façon sécurisée. L utilisateur final peut accéder à des services (outils collaboratifs, documentations électroniques, applications métier, accès Wi-Fi) opérés en dehors de son établissement mais en utilisant le mode d authentification de son établissement. Actuellement, la communauté Éducation-Recherche contient 248 fournisseurs d identités et 657 ressources. Les différents types d acteurs : 1 les utilisateurs finaux sont les personnes qui vont effectivement se connecter à des sites web via une fédération d'identités. En général elles ne savent pas et ne voient pas que leur connexion a lieu vers une fédération d'identités, c'est transparent pour elles. 2 les ressources sont les sites web auxquels peuvent accéder les utilisateurs finaux via une fédération d'identités. Il peut s'agir par exemple de sites d'enseignement à distance, d'outils collaboratifs en ligne, de portails de documentations numérisées 3 les fournisseurs d'identités sont les organismes auxquels sont rattachés les utilisateurs finaux. Par exemple dans la fédération Éducation-Recherche, il s'agit d'organismes de recherche ou d'établissements d'enseignement. Un fournisseur d'identités a pour rôle d'authentifier ses utilisateurs désirant accéder à une ressource via la fédération d'identités. 4 l'opérateur de la fédération est l'entité qui gère la fédération, il définit ses règles de fonctionnement et prend en charge l'inscription des fournisseurs d'identités et des ressources dans la fédération. Interactions basiques pour accéder à un service dans la fédération : Figure 1 - Intéractions dans la fédération Le fournisseur de services (SP - Service Provider) détecte qu un utilisateur désire accéder à un service sécurisé (1), il génère et transmet une requête au fournisseur d identités (IdP) auquel l utilisateur est rattaché (2), ce dernier authentifie l utilisateur en se basant sur un annuaire d établissement (LDAP, AD ) (3) et répond une requête contenant les attributs de l utilisateur (4), le fournisseur de services vérifie les informations fournies par le fournisseur d identités, puis donne accès à l utilisateur aux ressources demandées (5). JRES 2015 - Montpellier 2/6

2.2 Services accessibles via la fédération Différents services sont accessibles à la communauté Éducation-Recherche, à titre d exemples: - RENAvisio : plate-forme de réservation de pont de visioconférence. - TCS : service de délivrance de certificats de serveurs/personnes TCS. - FileSender : service de transfert de fichiers. - RENdez-vous : visioconférence de poste à poste. - Point d accès wifi Eduspot. Pour plus d informations concernant les services référez-vous au lien suivant : https://www.renater.fr/spip.php?page=categorie&id_rubrique=425 3 Pourquoi un service d hébergement d IdP? L inscription au service de fédération d identité Éducation Recherche est gratuite mais les établissements doivent cependant déployer et configurer une brique de fournisseur d identités Shibboleth. Bien que généralement et suivant les compétences techniques disponibles, ce déploiement est de l'ordre de quelques jours, les petites structures sont découragées par ce déploiement pour des raisons budgétaires, techniques ou organisationnelles, elles sont donc dans l incapacité de profiter des services de la communauté Éducation-Recherche. 3.1 Description général du service Le service d hébergement d IdP de RENATER s appuie sur une offre logicielle en tant que service (SaaS) et sur une méthodologie de développement (DevOps) permettant d automatiser et de simplifier la création et la maintenance des fournisseurs d identités. Il facilite le déploiement et le management des fournisseurs d identités en minimisant les complexités technologiques pour les organismes demandeurs. En effet, la mise à disposition et le déploiement des briques nécessaires sont simplifiés, elles deviennent rapides à mettre en place grâce à l automatisation des tâches d installations et de configurations. Dans le cas où l établissement ne détient pas de référentiel utilisateur, RENATER peut prendre en charge son hébergement. Cependant, l approvisionnement de ce référentiel reste à la charge de l établissement, il peut se faire via une plate-forme web mise à disposition pour permettre l administration d un LDAP (ajout d utilisateurs, des droits, des attributs etc.). 3.2 Qui peut en bénéficier? Le service est proposé à l ensemble des établissements titulaires d un agrément RENATER. Les établissements qui n opèrent pas de fournisseur d identités peuvent faire une demande d hébergement d IdP en envoyant simplement les documents nécessaires pour activer le service (charte, formulaire contenant les données de configuration des fournisseurs d identités, etc.). Une fois la demande validée par RENATER, le processus de déploiement du fournisseur d identités est initié en prenant compte les configurations nécessaires aux spécificités de l établissement demandeur. JRES 2015 - Montpellier 3/6

4 Offres proposées par RENATER RENATER propose deux offres de service d hébergement d IdP qui répondent à des besoins différents. La première offre est mutualisée, elle consiste à fournir un IdP commun à plusieurs structures. La deuxième repose sur un IdP dédié, comme l illustre la figure suivante : 4.1 Offre d IdP mutualisé Figure 2 - Offres d'hébergement d'idp L offre d hébergement d IdP mutualisé est une solution légère pour les petites structures, qui désirent bénéficier de quelques services de la fédération d identités sans pour autant gérer un fournisseur d identités. 4.1.1 Description de l architecture du service L établissement est responsable de l approvisionnement et des déclarations d attributs conformes au cadre technique de la fédération d identités. Voici les briques qui sont configurées avec L IdP : Figure 3 - Configuration de la VM pour l IdP Commun 4.1.2 Avantages - Faible coût pour les établissements ; - l établissement doit juste approvisionner un annuaire LDAP via une interface web ; - haute disponibilité du service ; - mise à jour de l Idp automatisée. JRES 2015 - Montpellier 4/6

4.1.3 Limites - Utilisation de l annuaire LDAP fourni par RENATER pour approvisionner les utilisateurs, les attributs ; - pas de raccordement à un annuaire déjà existant ; - accès à quelques services en ligne de la fédération Éducation-Recherche ; - page de login non personnalisée pour les établissements ; - IdP non configurable selon le besoin de chaque établissement. 4.2 Offre d IdP dédié L offre d hébergement d IdP dédié est une solution pour les structures qui désirent plus de souplesse et une configuration personnalisée de leurs IdP. Le fournisseur d identités est déployé, hébergé, et configuré par RENATER selon le besoin de l établissement faisant la demande. 4.2.1 Description de l architecture du service Figure 4 - Configuration de la VM pour l'idp dédié 4.2.2 Avantages - Possibilité de raccorder l IdP à plusieurs sources de données (LDAP, AD...) ; - configuration personnalisée de la page d authentification de l IdP ; - accès à plus de services (ex : Antispam, fédération hébergée) ; - IdP avec nom de domaine de l établissement ; - possibilité d utiliser un serveur CAS ; - haute disponibilité du service ; - mise à jour de l IdP automatisée. 4.2.3 Limites Le coût financier de déploiement plus important, il est dépendant du besoin de chaque établissement. JRES 2015 - Montpellier 5/6

5 Evolution possible du service: RENATER envisage de compléter l offre en y ajoutant deux services importants, Eduroam (service d accès à Internet sans fil sécurisé pour les personnels et éventuellement les étudiants des établissements d'enseignement supérieur et de recherche) et des statistiques de supervision (nombre de connexions aux IdP, les services auxquels les utilisateurs accèdent le plus ). JRES 2015 - Montpellier 6/6

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back