Shibboleth, la fédération Education-Recherche et la problématique de diffusion d'attributs utilisateur Réunion Couperin «fédération d'identités» 5 mars 2009 Olivier Salaün - CRU 13 juin 2007 1
Démonstration de Shibboleth http://ent.univ-rennes1.fr http://www.sciencedirect.com/ 13 juin 2007 2
Fonctionnement de Shibboleth Ressource documentaire? SSO CAS Fournisseur d'identités Shibboleth Annuaire LDAP SupAnn 13 juin 2007 3
Caractéristiques de l'accès via Shibboleth Les flux ne transitent pas par Shibboleth Sauf étape d'authentification Fonctionnement différent d'un reverse proxy Pas adapté pour réaliser des statistiques Les URLs sont directes Certains sites mémorisent l'origine de l'utilisateur Liens sans WAYF depuis un ENT 13 juin 2007 4
C'est quoi Shibboleth? http://shibboleth.internet2.edu Logiciel de fédération d'identités «Open source» Implémente SAML 2.0 Adopté par d'autres communautés universitaires USA, Grande-Bretagne, Australie, Autriche, Allemagne, Chine, Danemark, Finlande, Japon, Pays-Bas, Suède, Suisse Deux briques Fournisseur de services Fournisseur d'identités (installé 1 seule fois) 13 juin 2007 5
A quoi sert Shibboleth? Uniquement pour les accès web Contrôle d'accès utilisateur Intérêt surtout en inter-établissement Les utilisations dans les universités : Documentation électronique Formation à distance Wi-Fi Distribution de logiciels Applications métier mutualisées 13 juin 2007 6
La fédération du CRU http://federation.cru.fr Opérationnelle depuis 2006 Succès auprès des établissements 54 fournisseurs d'identités 800.000 utilisateurs couverts 59 ressources dont 8 éditeurs 3 SCD 2 UNT Fermeture fin mars 2009 13 juin 2007 7
La fédération Education-Recherche https://federation.renater.fr En phase pilote depuis fin 2008 Le CRU opère toujours le service Extension aux EPST + enseignement sup Fonctionnement Adhérents RENATER = organismes membres Éditeurs = organismes partenaires Signature d'un charte Procédure de migration de la fédération du CRU en cours... 13 juin 2007 8
Les éditeurs utilisant la fédération d'identités Dans la fédération du CRU CAIRN, EBSCO, MetaPress, Ovid, ScienceDirect, Scopus, Immateriel.fr Les nouveaux JSTOR, CFC, IOP, EuroMonitor Ceux utilisés dans d'autres pays Atypon, BBCWorldWide, Bureau van Dijk, Capacity Builder, EDINA, Encyclopedia Britannica, Ingenta, MIMAS, OCLC, Proqest CSA, Thomson Learning, Turnitin, WebAssign, Voir http://refeds.terena.org/index.php/commonsps 13 juin 2007 9
Les échanges avec les éditeurs Beaucoup d'échanges! Elsevier : 280 emails EBSCO : 143 emails Type d'échanges Présentation de la technologie Négociation des attributs utilisateurs Réglages techniques / Tests Interlocuteurs Souvent les équipes techniques USA Initialisation du processus Contact direct CRU ou via établissements tilisatrices 13 juin 2007 10
Les attributs utilisateurs Ressource documentaire? jdupont Jean Dupont étudiant jean.dupont@univx.fr Fournisseur d'identités Shibboleth Annuaire LDAP SupAnn 13 juin 2007 11
Les attributs utilisables https://federation.renater.fr/technique/attributs Par défaut Shibboleth ne transmet aucun attribut utilisateur Paramétré pour chaque ressource Typologie des attributs Identifiants (opaque? Persistent?) Profil : affiliation, entitlement, etc. Personnalisation (nom, prénom, mail, etc.) À venir (supann 2008) Cursus étudiant Entité affectation 13 juin 2007 12
L'attribut edupersonentitlement Principe Définition des droits Exemple urn:mace:dir:entitlement:common-lib-terms Intérêts L'établissement gère le contrôle d'accès Très souple Aucun attribut de profil n'est transmis 13 juin 2007 13
Exemple 1 : Elsevier / Science Direct Aucun attribut utilisateur demandé (sauf l'identifiant de l'organisme) Autre éditeur : MetaPress 13 juin 2007 14
Exemple 2 : EBSCO Un des deux attributs suivant edupersonscopedaffiliation Exemple : student@univ-x.fr edupersonentitlement Exemple : urn:mace:dir:entitlement:commonlib-terms Une personne du SCD doit déclarer la valeur attendue pour l'attribut choisi Utilisation de l'interface EBSCOadmin Autre éditeur : Ovid 13 juin 2007 15
Exemple 3 : CAIRN Attribut requis : EduPersonTargetedID (ou persistentid) Exemple : 6qbe1qY6Y9llJzclL0cQRuH/WBg=@univ-test.fr Objectif de l'attribut: Reconnaître l'utilisateur entre deux accès Permet de personnaliser les contenu, mémoriser des recherches Autre éditeur : Immateriel.fr 13 juin 2007 16
Autres exemples Microsoft DreamSpark Distribution de logiciels aux étudiants Attributs requis edupersonscopedaffiliation edupersontargetedid Double authentification Shibboleth+LiveID UNJF Accès à des ressources pédagogiques Attributs requis : identifiant, nom, email, affiliation 13 juin 2007 17
Quelle articulation entre CRU/RENATER et Couperin/négociateurs? Les étapes Expliquer la technologie Choisir les attributs utilisateurs adaptés Tester avec un établissement Les problématiques Quels attributs pour quel usage? Mention des attributs dans les contrats? Information auprès des adhérents Couperin Différencier les accès par population? Phases de test avec un établissement 13 juin 2007 18