Jean-Jacques Parrenin Cellule TICE de la Faculté de Médecine de Grenoble Courriel jean-jacques.parrenin@learneos.fr TEL 04 76 63 75 69 SIDES iecn Gestion des utilisateurs avec CAS Généralités Une base d utilisateur interne à la plateforme. La plateforme SIDES gère en interne sa propre base d utilisateur. Contrairement à ce qui y est possible avec Shibbolethe, personne ne peut s y connecter sans que son compte y ait été préalablement créé, soit individuellement, soit au cours d imports de fichier. Cycle de vie du compte utilisateur - Organisation par classe Chaque étudiant se voit attribuer un compte qu il gardera pour toute la durée de son cursus au sein de l université ou le de l école. Idem pour un enseignement. Les comptes sont répartis dans des «classes». Typiquement, on trouvera des classes «1 er année», «2ème année», PACES, PCEM2 Enseignant A un instant T, un compte appartient à une classe unique, mais pourra passer d une classe à l autre tout au long de son parcours. Deux modes d'authentifications La plateforme SIDES propose 2 modes d'authentification : CAS ou Locale. 1. Mode CAS (Central Authentication Service) : Les identifiants sont créés/gérés par l'université. L'authentification se fait sur une page hébergée par l'université, laquelle page renvoie ensuite la personne connectée sur la plateforme SIDES avec un token. 2. Mode Local: Les identifiants sont créés/gérés et communiqués (par courriel adressé directement à la personne) par la plateforme SIDES. L'authentification se fait sur une page locale de la plateforme SIDES
A noter : l'authentification locale reste tout à fait possible pour une université utilisant CAS. Le compte utilisateur est configuré SOIT en mode CAS, SOIT en mode locale. Mais il peut basculer de l'un à l'autre (CF. plus bas). Paramétrage du serveur CAS Pour une institution donnée, la connexion CAS n est pas disponible tant le serveur CAS de l institution n est pas configuré sur la plateforme SIDES. Page de connexion SIDES Dans la page d identification SIDES, si votre institution n apparait pas dans la liste ci-dessus, c est que votre serveur n a pas encore été configuré. Dans ce cas, ou bien si votre compte est un compte local, vous devez alors vous connecter via le lien orange «Identifiez vous ici» ci-dessus.
Paramétrage du serveur CAS Pour paramétrer votre serveur CAS sur la plateforme SIDES, vous devez transmettre à l adresse support@side-sante.fr les coordonnées de votre service d authentification Adresse du serveur. Exl : cas.univ-poitiers.fr Numéro port..exl : 443 [donnée facultative] Dossier :.Exl : /cas [donnée facultative] Merci de joindre également un compte test afin de de nous permettre de tester la chaine de connexion. Conversion d un compte locale en compte CAS Conversion d un compte de local en CAS
Vous pouvez convertir en 2 click un compte local en compte CAS. Pour cela vous devez seulement disposer de son identifiant CAS (pas besoin du mot de passe) 1. Remplacer l identifiant local par l identifiant CAS (en conservant le préfixe universitaire) Ainsi «gre.jdupont» devient «gre.dupontje2» 2. Sélectionner la valeur CAS dans le champ «Type de connexion» 3. Le mot de passe n est alors plus utile, par convention on le remplace par le tag cas ; 4. Valider Pourquoi un préfixe institutionnel et comment l utiliser? Dans notre exemple, tous les comptes du CHU de Grenoble sont préfixés par gre. Ce préfixe nous permet de faire le lien un compte et son institution d appartenance. De plus il nous permet de gérer les doublons d identifiant CAS : il peut ainsi y avoir plusieurs identifiant CAS jdupont sur les 40 établissements mais chacun sera préfixé différemment. (A charge pour chaque établissement de nous fournit des identifiants CAS uniques chez eux) Lors de l authentification sur votre serveur CAS : le préfixe de DOIT PAS être saisi mais SIDES ne pourra pas accepter une connexion CAS avec un compte pas ou mal préfixé. Le préfixe est unique et propre à chaque institution, il commence nécessairement par un point. Vous pouvez le connaitre en regardant les comptes déjà créés sur votre plateforme. Conversion de tout ou partie de vos comptes locaux (vos enseignants) en compte CAS Situation actuelle : 1. Dans un premier temps, pour plus de simplicité, tous les comptes (enseignants) créés sur SIDES ont été des comptes locaux.
2. Comme on le verra ci-dessous, tous les comptes étudiants seront des comptes CAS synchronisés automatiquement via des échanges de fichiers. 3. Mélanger, au sein d une même institution des comptes locaux et CAS posent de vrais problèmes d organisation : * Les gens ne savent pas ou/comment se connecter * Les gens ne savent pas ou/comment obtenir leurs identifiants * Ils ne savent pas ou d adresser en cas d erreur de connexion * nous (le support SIDES) ne pouvons pas gérer le support des problèmes de connexions pour les 40 universités! Donc, d ici la rentrée, tous les comptes locaux devront avoir été convertis en comptes CAS, et les facultés devront être autonomes dans la gestion de leurs comptes d utilisateurs! Conversion massive de vos comptes locaux en compte CAS Vous pouvez le faire globalement via un export Excel des comptes d utilisateur : bouton en jaune ci-dessous, dans votre interface de gestion. Export la liste de vos comptes 1. Utiliser les filtres ci-dessus pour sélectionner les comptes que vous souhaitez convertir 2. Exporter la liste obtenue vers un fichier Excel (bouton jaune). 3. Compléter le fichier obtenu en rajoutant une colonne contenant les identifiants CAS correspondants (sans les mots de passe). 4. Renvoyer le fichier obtenu à support@side-sante.fr en précisant bien dans votre mail l université concernée ainsi que l opération souhaitée : «conversion de comptes locaux en comptes CAS»
Synchronisation automatique des comptes étudiants Périmètre de la synchronisation automatique La notion initiale de classe systémique a été abandonnée (sauf concernant les classes [ _Corbeille], [_Non affectés apprenants] et [_Non affectés enseignants] ) Vous avez maintenant toute liberté (*) de créer et nommer vos classes comme vous l entendez, ainsi que de paramétrer (ou pas) leur synchronisation. Le paramétrage de la synchronisation d un classe, se fait dans l interface de gestion des classe, bouton [Synchronisation annuaire] accessible quand vous éditer les propriété de la classe concernée. (*) A ceci près qu'il me faut un interlocuteur administrateur de SIDES pour Nantes auquel je puisse donner les droits ad-hoc. Cette personne pourra alors restructurer la base utilisateur, créer des classes et attribuer/déléguer les rôles d'administration. Critères obligatoires de comptes étudiants Pour faciliter sur le long terme la gestion des comptes étudiants, ceux-ci devront respecter les critères suivants : 1. Mode d authentification CAS obligatoire 2. Colonne «matricule» (ou numéro étudiant) obligatoire Critères obligatoires de comptes enseignants / administratifs. Il n y en a plus. La notion de matricule a été abandonnée concernant la population enseignant / administratif, car cette notion recouvre une acception différente selon l interlocuteur (code Adeli, numéro salarié, ) d où risque de création de doublons. Principe de la synchronisation 1. SIDES met à disposition de chaque université un compte FTP isolé et sécurisé avec SSH et un échange de clé publique privée 2. Les universités peuvent déposer chaque nuit des fichiers d étudiant normés dans leur dossier privé. A raison d un fichier pas classe d étudiant. 3. Le traitement se base le couple institution/no_etudiant qui identifie la personne de manière sûre et pérenne. Un no_etudiant inconnu entraine la création du compte
Un no_etudiant reconnu entraine la mise à jour d'un compte existant. TOUS les autres champs peuvent mis à jour (nom, identifiant, classe...) Les informations de classe et d institution d appartenance sont données par la situation et le nom du fichier lui-même. 4. Les nouveaux fichiers sont traités chaque nuit. Structure des fichiers Règles générales Fichier CSV séparateur point-virgule Une ligne par compte sans ligne d entête avec les noms de colonne la date de naissance (facultative) est au format JJ/MM/AAAA Eviter les majuscules accentuées Colonnes attendues (dans l ordre et le nombre exactes) 1. Numéro étudiant (valable pour toute la durée du cursus de l étudiant) 2. NOM 3. Prénom 4. Date de naissance (JJ/MM/AAAA) facultatif. 5. Courriel 6. Identifiant CAS 7. Statut (1/0 ) 1=actif et 0=désactivé Règles du traitement Chaque fichier de mise à jour représente une et unique classe, il contient la liste exhaustive des membres de classe concernée, telle que connue au moment de l'import. Les comptes inconnus seront créés dans la classe concernée. Les comptes connus et actifs seront mis à jour et déplacés, si besoin, dans la classe concernée. Les comptes connus et donnés désactivés par le fichier (statut=0) seront désactivés et déplacés dans la classe _corbeille. Les comptes préalablement présent dans la classe concernée MAIS absent du fichier seront déplacés dans la classe _non_affectes_etu (ou
_non_affectes_ens, selon) Ces comptes restent cependant actifs, en attente de reclassement, et peuvent aller au termes de leur sessions en cours Règles de nommage des fichiers de synchronisation: Dans l'exemple qui suit, la chaine suivante représente la date de création du fichier : AAAAMMJJ. Pour chaque classe synchronisée, vous définissez un tag alphanumérique simple, court et unique (Exemples : PACES, D2, etc ) Si ma classe PACES, a pour tag paces (éponymie non obligatoire), le fichier devra se nommer user_paces_aaaammjj.csv Gestion des droits Les droits sont gérés en interne dans la base de données, sous la forme de rôles attribués ou non à une personne. En plus de ces rôles intervient le statut de la classe d appartenance de l utilisateur, statut «Apprenant» ou «Enseignant». Ce statut détermine l interface sur laquelle est redirigé l utilisateur après sa connexion ; interface d administration ou interface apprenant. Sauf cas particulier, l apprenant n a pas à avoir d autre rôle que celui d apprenant. Une interface à la carte L enseignant/administrateur lui, verra son interface d administration s enrichir automatiquement en fonction des rôles qui lui sont attribués. Ainsi, un enseignant sans aucun rôle pourra se connecter mais ne pourra rien faire sur la plateforme. Import manuel de fichiers de comptes CAS Dans l interface de gestion des comptes d utilisateurs, vous avez un bouton [Importer des utilisateurs]. Ce bouton vous ouvre une nouvelle interface dans laquelle vous pouvez déposer des fichiers tels que celui-ci : Exemple de fichier Excel d import d utilisateur
Ce fichier permet de créer / mettre à jours des comptes sur une ou plusieurs classes existantes Contraintes à respecter : 1. Respecter l ordre et le nombre de colonnes 2. Laisser tel quelle la ligne d entête 3. Sur chaque ligne, la classe doit correspondre à la lettre prés à un nom de classe existante 4. Le matricule (no étudiant) est obligatoire pour les étudiants. 5. Le mot de passe DOIT ETRE cas sinon vous allez créer un compte local! 6. L identifiant doit être un identifiant CAS préfixé du tag universitaire (ici.gre pour Grenoble) 7. Format du fichier : EXCEL 97 / 2003 obligatoire! Afin de vérifier l exactitude du traitement, l import se passe en 4 étapes. Tant que vous n aurez pas cliqué sur [Procéder], aucun compte ne sera réellement créé ou modifié. Les lignes correspondant à des comptes reconnus comme déjà existants seront surlignées en jaunes. Ces comptes seront mis à jour. Si la classe n est pas reconnue, la ligne correspondante passera en rouge. Le fichier ne pourra alors pas être traité.