. Identification : fédération d identités RENATER SOMMAIRE Introduction 1 Fonctionnement d un compte REFDOC aujourd hui 1 Créer un compte Refdoc 1 Mon profil à renseigner 4 Modifier les informations du compte Refdoc 4 Changer de mot de passe 4 Changer le mail d'identification de mon compte Refdoc 4 Créer des utilisateurs 5 Gérer ses utilisateurs 6 Accéder au relevé de compte(s) 6 Informations sur le (s) compte(s) UC 7 L identification avec la fédération d identités associée à la création d un compte REFDOC. 8 Informations nécessaires à la liaison avec un compte créditeur 8 Évolutions possibles 9
. Introduction Un des principes retenus pour atteindre l objectif fixé par l atelier BSN8 est d améliorer l identification de l utilisateur lui permettant de créer son propre compte pour qu il puisse s identifier lui-même 1 et qu il puisse bénéficier de l authentification fédérée. REFDOC possède aujourd hui une fonctionnalité de création de compte qui peut évoluer et intégrer la fédération d identités. Fonctionnement d un compte REFDOC aujourd hui Créer un compte Refdoc Pour pouvoir passer une commande, un compte client internet est nécessaire et indispensable. Par contre, la recherche d un document est accessible même sans compte client. Ce compte est créé dans l écran «créer mon compte» décrit ci-après. 1 Groupe de travail «Modernisation du PEB» 17 juin 2010 Annexe 2 Besoins fonctionnels Page :1
. Les informations suivantes sont à compléter (tous les champs avec * sont obligatoires) L adresse mail saisie sera l identifiant de connexion Refdoc Conditions générales d utilisation de Refdoc à accepter puis à valider. Un mail de confirmation est automatiquement envoyé sur l adresse renseignée. Validation du compte Refdoc en cliquant sur le lien envoyé dans le mail de confirmation. Les informations suivantes sont à compléter : Page :2
. Adresses de livraison électroniques (Livraison Electronique Sécurisée L.E.S, Livraison Electronique Directe L.E.D, Ariel ), de télécopie et adresse postale sont à renseigner. Page :3
Mon profil à renseigner Modifier les informations du compte Refdoc Changer de mot de passe Changer le mail d'identification de mon compte Refdoc Le mail d identification du compte Refdoc peut être modifié (changement de fonctions, nouvelle adresse de messagerie ) Page :4
Créer des utilisateurs Le gestionnaire d un compte UC (Unité de Compte) peut créer des utilisateurs (nombre illimité) qui seront rattachés à un ou plusieurs compte (s) UC. En fonction du statut que le gestionnaire leur attribue, ils pourront soit passer directement leurs commandes à l Inist-Cnrs (utilisateur autonome), soit les mettre en attente de votre validation (utilisateur). L adresse mail qui servira à l authentification de l utilisateur doit être indiquée. Définir son statut : Un utilisateur recherche, sélectionne et transmet ses commandes pour validation à son gestionnaire. Un utilisateur autonome recherche, sélectionne et valide lui-même ses commandes. Cliquez sur créer Un mail est systématiquement envoyé à l utilisateur : - soit l utilisateur a déjà créé son compte Refdoc, le mail le prévient de son rattachement au compte UC, - soit l utilisateur n a pas encore créé son compte, le mail l invite à cliquer sur un lien et à compléter les informations de son compte. Page :5
Gérer ses utilisateurs Le gestionnaire peut à tout moment modifier le statut d un utilisateur ou le supprimer. Pour modifier le statut, sélectionnez la liste déroulante, changez le statut puis cliquez sur valider. Pour supprimer un utilisateur, cochez «supprimer» puis cliquez sur valider Accéder au relevé de compte(s) Le gestionnaire peut consulter les opérations effectuées sur le(s) compte(s) d UC. La recherche d une commande est possible en indiquant le N de demande original ou la recherche de toutes les commandes pour une Référence lecteur. Coordonnées de votre chargée de clientèle Page :6
Informations sur le (s) compte(s) UC Les informations sont visualisées selon les niveaux d'autorisation (gestionnaire, utilisateur autonome, utilisateur) en fonction des différents comptes ainsi que le solde du/des comptes. Image d écran à titre d exemple En cliquant sur un des comptes le détail des informations liées est visible Image d écran à titre d exemple Liste des utilisateurs Page :7
L identification avec la fédération d identités associée à la création d un compte REFDOC. L'utilisateur se connecte sur le guichet unique et crée son compte internet. Il arrive sur un menu déroulant (Where Are You From) qui lui demande à quel groupe il appartient (CNRS, Université A, université B, ). En fonction de son appartenance, l'utilisateur est orienté vers le fournisseur d'identités correspondant qui retourne l'identité de l'utilisateur. Lors de l'authentification par le fournisseur d'identités, outre l'identifiant de l'utilisateur (son adresse mail) et la garantie de son authentification, les fournisseurs d'identités peuvent fournir des informations sous forme d'attributs contenus dans leurs annuaires. Il s'agit d'utiliser au maximum ces attributs pour faciliter le processus de validation d'un compte Internet RefDoc ainsi que le processus de rattachement de ce compte internet à un compte de crédit (Unité de compte = compte client). Des attributs sur les droits des utilisateurs selon leur profil seront nécessaires pour faciliter le travail du gestionnaire du compte. Ces attributs inexistants aujourd'hui pourront être demandés à l'amue. Informations nécessaires à la liaison avec un compte créditeur Les informations suivantes seront nécessaires : Code unité/code université Numéro de compte client Statut/Fonction/Rôle administratif Page :8
Niveau de droit gestionnaire/autonome/standard Évolutions possibles Dans le cadre de l'évolution de RefDoc vers une solution de guichet unique, deux hypothèses sont envisageables : solution dégradée sans IdP (Identity Provider fournisseurs d accès) 1. la base d'authentification utilisée est en même temps RefDoc et les IdP 2. la procédure d'inscription est enrichie des éventuels attributs retournés par les IdP 3. un moyen de relier son compte refdoc à un compte IdP est à prévoir 4. intégration d'un WAYF personnalisé (logo, charte graphique et ergonomie dédié à refdoc) 5. rapide à mettre en oeuvre solution avec IdP de bout en bout 1. la base d'authentification utilisée est forcément un IdP 2. un IdP est constitué à partir de Nouvel IdP pour permettre de gérer les utilisateurs hors ESR 3. une migration des comptes de RefDoc vers Un nouvel IdP est nécessaire 4. intégration d'un WAYF personnalisé (logo, charte graphique et ergonomie dédié à refdoc) 5. plus long à mettre en oeuvre, peut constituer une deuxième étape Pour la gestion du PEB, un typage supplémentaire doit être mis en place au niveau de RefDoc. L'IdP Jungle doit être adapté si on veut conserver certaines fonctionnalités RefDoc (pré-création de compte, validation de compte incomplet) ou remettre en cause ces fonctionnalités. La notion d'identifiant unique (autre que l'adresse mail) doit être prise en compte. Quel mécanisme retenir pour relier le compte UC aux utilisateurs qui se présentent d'une université donnée. Il existe 84 universités en France (http://www.amue.fr/presentation/annuaires/annuaire-des-adherents/ http://www.etudes-en-france.com/univ.htm ) et 124 fournisseurs d'identités dans la fédération. Le lien et les différences entre ces deux notions doivent être listés. Le but Page :9
est de savoir comment utiliser les informations transmises par l'idp pour relier l'utilisateur qui se présente à un compte UC de la façon la plus automatique possible. Un échantillon d'utilisateurs testeurs est à prévoir pour nous permettre de cerner les possibilités réelles vis à vis des différents profils d'utilisateurs. Dans ce contexte, comment gérer les personnes morales. Dans l'hypothèse d'une maquette implémentant une version d'un WAYF, des tests de vérification de la validité des attributs est à mettre en place avec un exemplaire de chacun des membres de la fédération. Page :10