Version soumise à appel à commentaires Ecrire à sdet@education.gouv.fr

Structure et préconisations pour la rédaction d un cahier des charges technico-fonctionnel Date : 12 janvier 2005 Réf : SocleENT_CCENT_v1.0.doc Nombre de pages : 83 Ecrire à sdet@education.gouv.fr

Références du document Réf. Vers. Date Class Nature Statut Auteur Validé par Approuvée par SocleENT_CCENT_v1.0 1.0 12/01 P LV V Dictao COAPP COPIL Date Version Description des modifications 12/01 1.0 Version stabilisée, pour appel à commentaires Légende : Classification (Class) : P : Public ; DR : Diffusion Restreinte ; C : Confidentiel Nature : CM : Commercial ; LV : Livrable ; CP : Suivi de Projet ; PS : Présentation Statut : C : Création ; V : Validation ; A : Applicable Page 2/83

SOMMAIRE LE SOCLE INDUSTRIEL ENT... 1 STRUCTURE ET PRECONISATIONS POUR LA REDACTION D UN CAHIER DES CHARGES TECHNICO-FONCTIONNEL. 1 REFERENCES DU DOCUMENT... 2 SOMMAIRE... 3 CHAPITRE 1 CONTEXTE ET OBJECTIFS DU PROJET... 7 1. CONTEXTE... 8 1.1 Cadre général du projet... 8 1.2 Porteurs du projet... 8 1.3 Partenaires associés au projet... 8 1.4 Enjeux et orientations stratégiques... 8 1.4.1 Politique de l Académie concernée... 8 1.4.2 Politique du Conseil Général concerné... 8 1.5 Etat des lieux des Systèmes d Informations existants... 9 1.5.1 Systèmes opérationnels... 9 1.5.2 Équipements disponibles... 9 1.6 Cibles géographiques... 9 1.6.1 Établissements concernés... 9 1.6.2 caractéristiques associées... 9 2. OBJECTIFS DU PROJET... 10 2.1 Services applicatifs... 10 2.2 Utilisateurs concernés... 11 2.3 Principes de d intégration des services existants ou d autres projets... 12 2.4 Politique d équipement en matériels / logiciels... 12 CHAPITRE 2 DESCRIPTION DU SOCLE INDUSTRIEL ENT... 13 1. INTRODUCTION... 14 2. ARCHITECTURE GENERALE... 15 3. DESCRIPTION FONCTIONNELLE DES SERVICES DU SOCLE... 18 3.1 Services portail... 18 3.1.1 Gestion de l utilisateur : le multi-canal... 18 3.1.2 Gestion de l utilisateur : la présentation... 19 3.1.3 Gestion de utilisateur : la personnalisation... 21 3.1.4 Services plates-formes : L intégration des services applicatifs... 21 Page 3/83

3.1.5 Services plates-formes : La gestion des transactions et d échanges... 22 3.1.6 Services plates-formes : Les outils de recherche... 22 3.2 Services de gestion des identités et des accès... 23 3.2.1 L annuaire ENT... 24 3.2.2 Principes d alimentation et de mise à jour de l annuaire... 26 3.2.3 Gestion des identités et des habilitations : modèles d inscription... 28 3.2.4 Gestion des identités et des habilitations : administration et délégation des informations de l annuaire ENT... 28 3.2.5 Gestion des identités et des habilitations : définition des règles d accès... 29 3.2.6 Le contrôle d accès... 30 3.2.7 La fédération des identités et des droits... 31 3.2.8 La propagation des identités et des droits... 31 3.3 Services socle mutualisés... 32 3.3.1 Services d échanges... 33 3.3.2 Services d administration et d exploitation... 34 3.3.3 Services de stockage... 35 3.3.4 Services de sauvegarde et d archivage... 37 3.3.5 Services de sécurité... 37 3.3.6 Bases d informations communes... 39 3.3.7 Aide en ligne... 39 4. PRESENTATION DETAILLEE DES DIFFERENTS SERVICES TECHNIQUES... 40 4.1 Principes d architecture... 40 4.1.1 Principes d architecture logicielle... 40 4.1.2 Principes d architecture matérielle... 41 4.1.3 Principe de représentation d un modèle d architecture... 41 4.2 Définition des principales interfaces d échanges... 42 4.2.1 Diagramme de déploiement synthétique... 42 4.2.2 Diagramme de composants et interfaces... 43 4.3 Support du poste client... 45 4.4 Services transverses... 46 4.4.1 Le serveur d application... 46 4.4.2 Le service d intégration et d interfaçage... 47 4.4.3 Les services systèmes et les services de gestion... 48 4.5 Services portail... 48 4.5.1 Les principes généraux... 48 4.5.2 Services de communication gestion du multi-accès... 49 4.5.3 Service de présentation... 50 4.5.4 Service de personnalisation... 51 4.5.5 Service d'intégration et d agrégation... 51 4.5.6 Outil de recherche... 52 4.6 Services de gestion des identités et des accès... 52 4.6.1 Annuaire ENT... 54 Page 4/83

4.6.2 Contrôle d'accès, fédération et propagation des identités et des droits... 55 4.7 Services socle mutualisés... 56 4.7.1 Services d échanges... 56 4.7.2 Service d administration et d exploitation... 57 4.7.3 Service stockage, d archivage et de sauvegarde... 57 4.7.4 Services de sécurité... 58 4.7.5 Base d informations communes... 58 4.7.6 Service d aide en ligne... 58 5. CONTRAINTES TECHNIQUES A SUPPORTER... 60 5.1 Prise en compte de l existant... 60 5.1.1 Matériels... 60 5.1.2 Logiciels... 60 5.1.3 Réseaux... 60 5.1.4 Equipes... 60 5.2 Respect des standards... 60 5.2.1 Systèmes d exploitation retenus... 60 5.2.2 Langages et environnements de développement... 60 5.3 Principes d interopérabilité... 61 5.3.1 Systèmes concernés... 61 5.3.2 Principes techniques à mettre en œuvre... 61 5.4 Principes d accessibilité (fonctions à prévoir au niveau du socle)... 61 5.5 Niveau de performances à respecter... 62 5.5.1 Temps de réponse... 62 5.5.2 Disponibilité... 63 6. PRINCIPES D'EXPLOITATION RETENUS... 64 6.1 Internalisation : description du contexte... 64 6.2 Externalisé : définition des SLA s... 64 6.3 Caractérisation des équipes concernées par l exploitation du socle... 64 7. PLAN DE MONTEE EN CHARGE... 65 7.1 Phase de maquettage et de pilote... 65 7.2 Dates clés et volumétries associées... 65 8. PRINCIPES D'ACCOMPAGNEMENT DU CHANGEMENT... 66 9. ORGANISATION GENERALE DU PROJET... 67 9.1 Responsables concernés par le projet... 67 9.2 Les grandes phases du projet... 67 9.2.1 Lotissement du marché... 67 9.2.2 Lot 1 : mise en place d un socle ENT... 67 9.2.3 Lot 2 : mise en place des services applicatifs de l ENT... 68 Page 5/83

9.2.4 Lot 3 : hébergement du socle ENT et des services applicatifs... 68 9.3 Les conditions d enchaînement entre phases... 68 9.4 Les principaux livrables attendus... 69 9.5 Principes de validation des spécifications... 69 9.6 Planning de réalisation... 69 10. PLAN QUALITE ASSOCIE AU PROJET... 70 10.1 Équipe et principes de pilotage du projet... 70 10.2 Gestion de la documentation... 71 10.3 Réception et validation des livrables... 71 CHAPITRE 3 DOCUMENTS DE REFERENCE... 72 1. DOCUMENTS ET TRAVAUX DE REFERENCE... 73 2. GLOSSAIRE... 74 CHAPITRE 4 ANNEXES... 75 1. ANNEXE A : DESCRIPTION DES INFORMATIONS DE L ANNUAIRE... 76 1.1 Concernant les personnes... 76 1.2 Concernant les services... 79 1.3 Concernant les établissements ou des structures des partenaires privés / publics... 79 1.4 Concernant les groupes structurels... 80 2. ANNEXE B : PRINCIPES D INSCRIPTION D UN UTILISATEUR... 81 2.1 Modèles d inscription... 81 2.1.1 Inscription individuelle... 81 2.1.2 Inscription semi-automatique... 81 2.1.3 Inscription automatique... 81 2.2 Principes d inscription adaptés à chaque profil utilisateur... 82 2.3 Conditions d activation... 82 2.4 Validation des habilitations... 83 Page 6/83

Chapitre 1 Contexte et Objectifs du projet Ce chapitre devra être complété par le porteur. Néanmoins nous fournirons des éléments tels que le cadre général du projet, les enjeux et orientations stratégiques. Page 7/83

1. CONTEXTE 1.1 Cadre général du projet La généralisation de l usage des Technologies de l Information et de la Communication (TIC) dans l éducation constitue l un des objectifs prioritaires du Ministère de l Education Nationale. L évolution en cours de l expérimentation vers la généralisation suppose le passage d une logique d innovation à une logique de qualité de service aux usagers. Cette évolution doit se traduire par une industrialisation de l offre d infrastructures et de services TIC aux établissements scolaires, et par une ouverture du système d information vers un champ plus large d usagers. La démarche de promotion des ENT (Espaces numériques de travail) correspond à ces objectifs en ce qui concerne les services TIC du premier degré à l enseignement supérieur. Le lien et la mise en cohérence entre ces services applicatifs, les infrastructures matérielles et logicielles TIC, et les données des systèmes d informations de gestion de l Education nationale, dont le Ministère est garant, sont assurés par un «socle ENT». Ce document se limite à la définition d un socle industriel ENT dans le périmètre de l enseignement secondaire. Néanmoins, en cible il faudra prendre en compte l enseignement primaire et l enseignement supérieur. Un premier cadre de référence des ENT a été défini par le SDET (Schéma Directeur des Environnements Numériques de Travail) remis à jour régulièrement et les travaux des groupes de travail associés (Authentification-Autorisation-SS0, interopérabilité ). 1.2 Porteurs du projet [A compléter par le porteur] 1.3 Partenaires associés au projet [A compléter par le porteur] 1.4 Enjeux et orientations stratégiques [A compléter par le porteur] 1.4.1 Politique de l Académie concernée [A compléter par le porteur] 1.4.2 Politique du Conseil Général concerné Page 8/83

1.5 Etat des lieux des Systèmes d Informations existants [A compléter par le porteur] 1.5.1 Systèmes opérationnels [A compléter par le porteur] 1.5.2 Équipements disponibles 1.6 Cibles géographiques [A compléter par le porteur] 1.6.1 Établissements concernés [A compléter par le porteur] 1.6.2 caractéristiques associées Page 9/83

2. OBJECTIFS DU PROJET Fonctionnellement, un ENT est un dispositif global fournissant à un utilisateur un point d accès à travers les réseaux à l ensemble des ressources et des services numériques en rapport avec son activité. En termes d architecture, un ENT s organise autour de trois ensembles de services : Des services applicatifs, autour de la vie scolaire, de la documentation, de la pédagogie Des services socle qui servent de support aux services applicatifs et qui regroupent : o Des services portail o Des services de gestion des identités et des accès o Des services socle mutualisés : service de base de messagerie, administration, moteur de recherche Des services réseaux qui regroupent les services réseaux autour d infrastructures (réseaux d établissements, Internet ) et des fonctions de sécurité (pare-feu, antivirus ) Le schéma ci-dessous représente les services socle dans le contexte d un ENT : Services applicatifs Services socle Gestion des identités et des accès Portail Services mutualisés Services réseaux 2.1 Services applicatifs L ENT doit offrir à ses utilisateurs un portefeuille d applications collaboratives, de services d information ou de services transactionnels. Les services envisagés dans le cadre du présent projet sont : [A modifier et à compléter en fonction des objectifs du porteur] Services pédagogiques o Elaboration et utilisation de ressources pédagogiques o Cahier de texte Page 10/83

Services de vie d établissement o Aide à la publication Web o Services de publication (publication de brèves) Services de vie scolaire o Gestion des absences o Gestion des notes o Emploi du temps o Tableau d affichage o Gestion des ressources Services documentaires o Ressources personnelles de l élève ou de l enseignant o Ressources du CDI Services de communication o Services avancés de messagerie o Chat o Forum de discussion o Liste de distribution Bureau numérique o Agenda o Carnet d adresses o Espace de stockage privatif o Outils bureautiques Service de travail collaboratif o Ensemble des outils qui permet l échange des documents avec prise en charge des différentes versions (tableau blanc, ) 2.2 Utilisateurs concernés Le projet décrit dans le présent cahier des charges se limite à la communauté éducation de l enseignement secondaire et aux acteurs associés. Il faudra retenir les profils suivants : Les élèves Les enseignants Les tuteurs légaux Le personnel encadrant (proviseurs, adjoints, gestionnaires ) Le personnel d éducation (CPE, assistants d éducation, MI-SE, MDP, aides éducateurs ) Le personnel technique Le personnel administratif Les autres (Médecin scolaire, Infirmière, COP, Assistante sociale, secrétariat médical) Le personnel des collectivités territoriales Les partenaires publics/privés Il faudra enrichir cette liste des profils associés aux fonctions dites de servitude : Administrateurs de la plate-forme (administrateurs et administrateurs délégués) Administrateurs de service (administrateurs et administrateurs délégués) Page 11/83

Exploitants 2.3 Principes de d intégration des services existants ou d autres projets La mise en place des ENT doit se faire en tenant compte des environnements existants, en particulier au niveau des établissements. Ceux-ci sont déjà assez lourdement informatisés : Autour d un réseau local d établissement Avec des services Web souvent développés localement En s appuyant sur les principes d architecture définis dans le cadre du S2i2e Si, à terme, l ensemble des flux passera par l ENT, dans les premières phases, il faut envisager une coexistence entre les services d établissement et les services ENT. Cette coexistence s organisera autour des principes suivants : On ne cherchera pas à intégrer trop étroitement les services existants et les nouveaux services pour éviter à avoir à développer des solutions intermédiaires trop coûteuses On définira des plans ambitieux de migration des services d établissement sur l ENT On évitera de rajouter des fonctions d administration trop lourdes au niveau des établissements On s appuiera sur les bases d informations existantes et, en particulier, sur les annuaires pour alimenter automatiquement les annuaires et éviter les doubles saisies 2.4 Politique d équipement en matériels / logiciels [A compléter par le porteur] Page 12/83

Chapitre 2 Description du socle industriel ENT Page 13/83

1. INTRODUCTION Le socle se positionne : En «fournisseur» de services techniques pour les services applicatifs (services pédagogiques, services d établissement ) En «utilisateur» de ressources réseaux (communications locales / à distance, communications filaires / sans fil ) En «utilisateur» d une plate-forme technique (serveurs, solutions de stockage / archivage ) Le socle se conçoit dans une approche inter-établissement, au moins pour permettre de: Bâtir des solutions industrielles plus puissantes Permettre des partages de coût tant au niveau des investissements qu au niveau du fonctionnement (partage de ressources humaines «rares») Page 14/83

2. ARCHITECTURE GENERALE Le schéma ci-dessous représente les services socle dans le contexte d un ENT : Le socle sert de «base» pour les services applicatifs Le socle s appuie sur les services réseaux Ressources de l ENT Données applicatives Services applicatifs Gestion des identités et des accès Gestion des identités / habilitations Services transverses Serveur d application Intégration / interfaçage Services systèmes et gestion Services socle mutualisés Services d échanges Socle ENT Annuaire ENT Fédération des identités / droits Propagation des identités / droits Services portail Intégration / agrégation Personnalisation Outils de recherche Administration / Exploitation Stockage Sauvegarde et archivage Base d informations communes Contrôle d accès (authentification, autorisation) Présentation Gestion du multi-canal Aide en ligne Services de sécurité Services de communication Client réseau Les services techniques du socle sont : Les services de gestion des identités et des accès qui doivent permettre de : o Stocker les informations des utilisateurs strictement nécessaires au contrôle d accès et à la gestion des habilitations dans un annuaire LDAP o Gérer les identités et les habilitations des utilisateurs de l ENT fonction assurée par le service de gestion des identités et des habilitations o Authentifier et autoriser des utilisateurs accédant aux services de l ENT fonction assurée par le service de contrôle d accès o Partager les identités, les profils et les droits d accès des utilisateurs au sein de l ENT et vers d autres ENT fonction assurée par le service de fédération des identités et des droits Page 15/83

o Propager, au sens SSO, les identités, les profils et droits au sein de l ENT mais aussi vers d autres services ou d autres espaces de confiance (autre ENT par exemple) Les services transverses qui doivent permettre : o D héberger l exécution d applications fonction assurée par le serveur d application o D intégrer les ressources et services applicatifs en proposant des interfaces d échanges et de communication fonction assurée par le service d intégration et d interfaçage o De disposer des outils et processus fondamentaux pour permettre de gérer les services applicatifs et d inter opérer les services entre eux fonction assurée par les services systèmes et gestion Les services portail qui doivent permettre : o De supporter les services applicatifs (représentés par des webparts ou portlets) qu ils soient locaux ou distants fonction assurée par le service d intégration et d agrégation o De personnaliser l espace de travail de l utilisateur selon des paramètres imposés et/ou modifiables à différents niveau (administrateur / utilisateur) fonction assurée par le service de personnalisation o De traduire le format original (a priori XML) par un format supporté par le client réseau de l utilisateur (HTML, WML ) fonction assurée par le service de présentation o D effectuer des recherches de pages web ou de données dans les ressources du socle fonction assurée par les outils de recherche o D offrir l interface de communication avec les clients réseaux fonction assurée par le service de gestion multi-canal qui sera mutualisé avec d autres services tels que la messagerie de base ou les services mobiles (interfaces de communication SMS mutualisées par exemple) Les services socle mutualisés qui doivent permettre : o De compléter les services assurés au niveau de chaque service du socle (annuaire, gestion des identités et des accès, portail, etc.) fonctions assurées par les services d échanges o D administrer l ensemble des services du socle et offrir les fonctions techniques et fonctionnelles d administration centralisée aux ressources de l ENT fonction assurée par le service d administration / exploitation o D offrir les outils et les moyens nécessaires au stockage des données du socle, mais aussi les données de l ENT fonction assurée par le service de stockage o De fournir un système de sauvegarde de l état système, des services et des données du socle et mettre à disposition ces fonctions pour les services de l ENT fonction assurée par le service de sauvegarde du socle o De stocker et gérer les informations communes aux services de l ENT, en particulier, les informations de type pages blanches, les groupes o De fournir un service d aide en ligne au niveau du socle o De fournir des services de sécurité minimum pour le socle autour de fonctions antivirus, antispam, de filtrage qui devront être implémentés sur les machines du socle (serveur applicatifs, passerelles de messagerie ou web ) ; le socle ENT n a pas pour vocation de gérer la sécurité des services de l ENT o De fournir les passerelles de messagerie (SMTP, POP3 ) et l interface web minimale pour permettre à l utilisateur de consulter son compte de messagerie, que cette dernière soit un service de l ENT ou un service tiers Page 16/83

L ensemble de ces services reposera sur un système d exploitation de type Win 32, Linux ou Unix. Ces services pourront être réunis sur une même machine ou au contraire répartis sur plusieurs machines. Page 17/83

3. DESCRIPTION FONCTIONNELLE DES SERVICES DU SOCLE 3.1 Services portail Le service portail du socle ENT se définit à deux niveaux : Un niveau «utilisateur» qui s organise autour des services suivants : o Gestion multi-canal (accès à partir de terminaux de type différents) o Présentation («mise en page» et présentation des différents services applicatifs) o Personnalisation (en fonction du profil de l utilisateur ou à son «libre choix») Un niveau «plate-forme» qui accueille et à agrége les services applicatifs de l ENT ; dans le cadre de ce document on retiendra les services suivants : o Services d intégration Simples services de pages (services web d information) Services de page dynamiques o Services de transactions plus sophistiqués dont l usage apparaît aujourd hui plus limité dans le cadre d un ENT, mais qui devra être considéré comme une évolution o Services de recherche Les services de gestion collaborative, de workflow, de gestion de contenu sont considérés comme des services applicatifs. Pour garantir l interopérabilité entre les différentes composantes qui lui sont rattachées (client réseau, services applicatifs, services de gestion d identité, service de messagerie, ), le portail doit s appuyer sur les standards acceptés au niveau international. 3.1.1 Gestion de l utilisateur : le multi-canal Principes et exigences Le portail doit disposer des interfaces nécessaires pour fournir les services de l ENT à des utilisateurs équipés de clients réseaux différents : Les clients réseaux banalisés (PC, MAC, station Linux ) Les équipements mobiles (sans fil) Les assistants digitaux personnels Le titulaire devra, chaque fois que possible, s appuyer sur des interfaces stabilisées et acceptées comme standards au niveau international. Dans ce domaine, un effort très important de rationalisation a été mené autour d XML et devra être intégré dans la définition du socle ENT. Le portail doit, par ailleurs, permettre de : Sécuriser ces accès : o Contrôle d accès aux informations et aux services applicatifs (comme décrit au paragraphe 3.2.6 de ce chapitre) Page 18/83

o Protection en confidentialité des échanges Suivre l activité et identifier les potentiels goulots d étranglement Evolutions à considérer Il est indispensable d avoir, à ce niveau, une approche très ouverte et d être en mesure de s adapter à de nouveaux clients réseaux. 3.1.2 Gestion de l utilisateur : la présentation Principes et exigences Le service de présentation doit permettre d afficher et simplement gérer un espace de travail structuré autour d un ensemble d informations ou de services applicatifs (appartenant directement ou indirectement à l ENT) dans l environnement technique de l utilisateur : navigateur web, environnement assistant personnel, téléphone mobile Organisation de l espace de travail L espace de travail s organise autour de : Une partie contenant les informations générales accessibles à tous (accueil) ; par exemple : o La description des services proposés o La présentation des établissements o L actualité de l ENT o Les pages d inscription o L aide en ligne (chapitres généraux) Une partie authentifiée réservée aux utilisateurs de l ENT intégrant la très grande majorité des services applicatifs de l ENT ; elle devra comporter au minimum les rubriques ou zones suivantes : o Menu d accès aux services de l ENT o Liens vers l aide en ligne o Zone de navigation (retour à la page d accueil, déconnexion, fermeture de l espace, ) o Zone de recherche o Préférences Personnalisation des paramètres du portail contrôlable par l utilisateur (gestion des favoris, modification de l affichage, ) Informations personnelles (identité, coordonnées, ) o Une (ou plusieurs) zone de service applicatif Zone d actualité de l ENT Zone de service applicatif type calendrier o L affichage de l identité de l utilisateur (prénom, nom), ou de son profil de connexion, et son établissement de rattachement pour un espace donné Si le développement et la gestion de sites web personnels ne font pas, en théorie, des services socle, ces services socle doivent permettre de simplement mettre en œuvre des fonctions telles que : Création d un espace personnel (après contrôle des habilitations) Gestion de zones privées Page 19/83

Gestion de zones partagées à l intérieur de l espace personnel (et gestion des listes de personnes habilitées) Accès aux services distants Le portail doit, «par définition», permettre de très simplement accéder à l ensemble des services applicatifs intégrés localement à l ENT. Il doit également : Permettre d accéder facilement aux services applicatifs propres aux établissements faisant partie du périmètre organisationnel de l ENT S intégrer dans le système d information de la communauté éducative Intégrer des services tiers Les conditions d intégration de ces services sont régies par les règles suivantes : Les services externes sont intégrés au portail par l intermédiaire de mécanismes «Web Services» dans la mesure du possible, sinon il seront accessibles via un signet (URL) affiché dans l espace de travail de l utilisateur Un processus d accord préalable doit être établi entre le porteur de projet et le fournisseur de service tiers Le niveau de sécurité de l ENT ne doit pas être affaibli Ergonomie des services et outils de l espace de travail Le service de présentation devra prévoir une organisation logique et simple facilitant l accès aux services et aux outils du portail : Zone d identification du profil ou de l identité de l utilisateur connecté : nom, prénom, profil, établissement d appartenance de l utilisateur. Cette information permet à l utilisateur de vérifier son profil de connexion ou de contrôler que l espace (ou partie d espace) sur lequel il est connecté est le bon Organisation simple des services, même lorsque l utilisateur a plusieurs profils o Système d onglets o Menu déroulant o Plan de l espace de travail Eventuellement, une différenciation d affichage de l espace de travail en fonction du profil connecté La présentation du contenu doit pouvoir s appuyer sur les deux modèles suivants : Une présentation gérée au niveau du portail : le service web gère uniquement un contenu brut (HTML ou XML) mis en forme par le portail Une présentation gérée par le service web : le portail ne fait que positionner le service dans l espace de travail Accessibilité aux informations et aux ressources La solution proposée par le titulaire devra respecter les principes d accessibilité exposés au paragraphe 5.4 de ce chapitre. Page 20/83

Evolutions à considérer La présentation de l espace de travail devra pouvoir évoluer vers de nouveaux besoins, notamment dans le cadre du développement des services mobiles. 3.1.3 Gestion de utilisateur : la personnalisation Principes et exigences Il est indispensable que l affichage puisse : Etre personnalisé en fonction du profil utilisateur (par exemple, fonds d écran de couleur différente pour un élève ou un enseignant) Etre personnalisable par l utilisateur pour favoriser une meilleure appropriation des outils Ce qui amènera à définir : Les paramètres modifiables par un administrateur, par un administrateur délégué, par un enseignant, par un utilisateur o Fonds de page o Outils de manipulation (barres déroulantes, boutons ) o Type de communiqués de presse ou d informations à afficher o Liens vers d autres sites o Les conditions de modification Les principes de délégation (par exemple, d un administrateur central vers un administrateur local) Evolutions à considérer Pas d évolution particulière considérée à ce jour. 3.1.4 Services plates-formes : L intégration des services applicatifs Principes et exigences Le service d intégration est une fonction essentielle du portail et fournit un ensemble d interfaces permettant une intégration rapide : Des services applicatifs web Eventuellement, des services non web pouvant communiquer avec des protocoles standards définis pour dans le cadre d une architecture de web services Le portail doit pouvoir également intégrer des services hétérogènes ou distants à l ENT tels que : Les services existants du système d information d un établissement Les services des fournisseurs tiers Ces services hétérogènes ou distants doivent être agréés par le porteur de projet ou l Education nationale, dans le cadre d accords passés avec le fournisseur de services externes, pour être intégrés au portail de l ENT. Page 21/83

Evolutions à considérer Le titulaire proposera des principes d évolution en matière d intégration des services existants non web. 3.1.5 Services plates-formes : La gestion des transactions et d échanges Principes et exigences La plupart des opérations gérées au niveau d un ENT sont des opérations simples ou des séries de transactions simples. Les services de transactions se définissent par : La gestion des accès concurrents aux ressources Le pilotage d exécution distribuée des transactions La garantie de la bonne fin des suites d actions constituant les transactions La prise en charge les mécanismes de reprise sur incident Ces services sont très sophistiqués tant au niveau de la conception qu à celui de l exploitation. En conséquence, dans une première phase, le socle ENT : Ne supporte pas de services transactionnels S appuie, si nécessaire, sur les services de transactions mis en œuvre par des services tiers Par contre, on préconisera un service minimum permettant d assurer des échanges synchrones et asynchrones entre les services applicatifs et les référentiels de données. Evolutions à considérer Le titulaire devra présenter des garanties de mise en œuvre de services de transaction. En effet, certaines opérations pourront devenir plus sophistiquées (autour, par exemple, de fonctions de mise à jour simultanée ou de fonctions de paiement) et supposeront de mettre en place des services transactionnels. 3.1.6 Services plates-formes : Les outils de recherche Principes et exigences Le portail devra intégrer un outil de recherche. Celui-ci devra permettre d effectuer des recherches sur l ensemble des services applicatifs de l ENT : Espace de stockage des documents : documents personnels, publics, associés aux services de l ENT, associés aux services de l établissement Messagerie (recherche d un contact, d un mail ) Forum de discussion Annuaire (recherche de type pages blanches ou pages jaunes) L outil de recherche doit répondre aux principes suivants : Il s appuie sur un ou plusieurs services applicatifs spécialisés ou intégrant des moteurs de recherche puissants Page 22/83

Il doit permettre d effectuer des recherches simples sur le socle ENT ; les recherches sur les ressources de l ENT seront assurées pas les services applicatifs Il n a pas vocation à effectuer des recherches sur les postes de travail Il doit permettre de filtrer les résultats de recherche en fonction du profil ou de l identité de l utilisateur. Optionnellement, on aura la possibilité de voir l existence d URL qui ne sont pas forcément autorisées. Pour l utilisateur, l outil de recherche est représenté par un champ de saisie de mots clés qui est disponible sur son espace de travail. Il permet une recherche : Rapide : recherche pré-paramétrée Avancée : définition des paramètres de recherche tels que la langue d écriture, le format des pages recherchées, la date de dernière mise à jour, Evolutions à considérer Dans un premier temps les services applicatifs seront référencés dans un annuaire traditionnel au même titre que les utilisateurs et les établissements. La recherche reviendra à une recherche de type «pages jaunes». Néanmoins, le titulaire pourra proposer une évolution de ce service vers des services plus évoluer de type UDDI. 3.2 Services de gestion des identités et des accès Si quelques services utilisateurs sont en accès libre (information, inscription ), la plupart des services seront en accès contrôlé et feront appel à des services de gestion d identité et d accès. Le socle ENT doit, en conséquence, supporter des fonctions de : Contrôle d accès o Identification o Authentification o Autorisation Gestion des habilitations Fédération et propagation des identités et des droits L annuaire ENT est un élément clé dans le bon fonctionnement de ces services de gestion de l identité. Il faut immédiatement noter que la gestion des habilitations et les services de contrôle d accès s appuient sur des profils et non pas des identités, sauf cas particuliers, comme par exemple l accès à un espace personnel. On ne s intéressera pas à Jean Dupont en tant que tel, mais à Jean Dupont élève de 3 ème C ou à Jean Dupont, professeur de sciences naturelles de 2 nd Le titulaire proposera la solution la plus efficace permettant de répondre à ces besoins organisationnels, au niveau des droits et des attributs : On ne cherchera pas à mettre l ensemble des informations dans l annuaire On s organisera donc dans une structure à (au moins) 2 niveaux : o Le socle gérant les profils et les attributs associés «les plus importants», c'est-à-dire ceux qui : Page 23/83

o Concernent les fonctions de sécurité et de contrôle d accès Intéressent le plus grand nombre de services applicatifs On parle, dans ce cas, de droits macroscopiques Chaque service applicatif gérant à son niveau les droits qui lui sont spécifiques ; On parle, dans ce cas, de droits microscopiques On prévoira la possibilité dans l annuaire de rajouter des champs à la demande d un service applicatif, sous le contrôle strict du porteur de projet ; Mais, étant donné les volumétries envisagées, il ne paraît pas raisonnable de mettre dans l annuaire des informations sur, par exemple, l appartenance d un élève à un club photo, ou à une liste de diffusion spécifique. 3.2.1 L annuaire ENT Principes et exigences Contenu de l annuaire et classification des informations L annuaire contient plusieurs types d entrées : Les personnes, c'est-à-dire les utilisateurs de l ENT (tuteurs légaux, élèves, personnels, correspondants tiers, ) Les services de l ENT (carnet de note, agenda, ) classés par catégorie (pédagogie, scolarité, ) Les établissements (collèges, lycées, CFA ) et les structures physiques des partenaires publics et privés (éditeurs, sociétés de services, collectivités, ) Les groupes structurels (classe, niveau d étude, administration, filière informatique, ) sur lesquelles pourra s appuyer la fonction de gestion des habilitations ; ces groupes pourront être définis de manière multidimensionnelle ou hiérarchique Eventuellement, d autres entrées nécessaires à la gestion de la sécurité d accès (par exemple, un «dictionnaire» des profils) L Annexe A : Description des informations de l annuaire décrit les principales informations relatives à chaque type d entrée. Structure et schéma de l annuaire Pour des raisons de performances, modularité et de pérennité, la structure de l annuaire reposera sur une structure à plat. L arborescence minimale envisagée pour l annuaire ENT est la suivante : Racine nationale commune aux ENT Arborescence d un ENT Racine ENT 1 Racine ENT 2 Personnes Services Groupes Établissements Partenaires publics Partenaires privés Page 24/83

Les containers (personnes, services, établissements, groupes, partenaires publics, partenaires privés) contiennent les entrées selon la classification décrite ci-dessus. Attention, pour ce qui est de l annuaire fédérateur, les entrées de type partenaires privés ou publics sont situées : Soit dans la branche «personne», s il s agit de personnes physiques Soit dans la branche «structure», s il s agit de collectivités, sociétés externes (personnes morales). D autres containers pourront être ajoutés selon les besoins du socle : politique d habilitation, historisation des entrées des anciens utilisateurs dans un container spécifiques,... Schéma de l annuaire Le schéma minimum de l annuaire est décrit au paragraphe 4.6.1 de ce chapitre de ce chapitre. Le titulaire s attachera à définir un niveau de cohérence du schéma de l annuaire ENT avec l état de l art définit ci-dessous. De la même manière, il conviendra d homogénéiser le format des données avec les sources d informations existantes (annuaire académique fédérateur, annuaire AGRICOL ). Publication des informations Le service d annuaire ENT du socle doit intégrer des fonctions de publication qui, sur une périodicité à définir (a priori une fois par jour), mettra à disposition plusieurs listes reprenant tout ou partie des informations de l annuaire ENT. Cette mise à disposition sera limitée aux services qualifiés dans un cadre contractuel très strict entre le porteur et le fournisseur de service. Les informations publiées devront être conformes aux contraintes imposées par la CNIL. Conformité avec l état de l art Le titulaire devra respecter autant que faire se peut les bonnes pratiques de létat de l art en matière de définition du schéma de l annuaire. En outre, il devra s appuyer sur le cadre de référence suivant : Les résultats des travaux des groupes SUPANN et AAS (cf. site du SDET : http://www.educnet.education.fr/equip/sdet.htm) Les travaux sur l annuaire académique «fédérateur» (mise en exploitation prévue pour Septembre 2005) Les travaux des porteurs de projet Les standards et les normes internationales relatives à l annuaire (cf. paragraphe 5.2 de ce chapitre) Sécurité de l annuaire Les données de l annuaire ne sont, a priori, pas chiffrées. En revanche le titulaire précisera les principes de définition des listes de contrôle d accès (ACL). Au moins trois niveaux de protection sont à envisager : Consultation des informations Modification d une entrée par son propriétaire (tout utilisateur doit pouvoir modifier ou demander la modification de ses informations en ligne) Administration d une partie (délégation) ou de l ensemble des informations de l annuaire Page 25/83

Evolutions à considérer L annuaire devra pouvoir évoluer facilement en termes de : Volumétrie la cible étant fixée à [à compléter par le porteur] utilisateurs Schéma : évolution des classes et des attributs Contenu : modification, extension de l arborescence de l annuaire Utilisation : contrôle d accès, gestion des habilitations 3.2.2 Principes d alimentation et de mise à jour de l annuaire Principes et exigences Des services d annuaire sont aujourd hui disponibles pour les entités élèves et personnels de la communauté éducative : Bases établissements (base des élèves et personnels, anciennement GEP et prochainement SCONET à partir de septembre 2005) Annuaire académie «fédérateur» et, dans une phase de transition, les annuaires S2i2e Annuaire national du Ministère de l agriculture Eventuellement, les annuaires des partenaires publics et privés (annuaire AGRICOL, annuaire de la collectivité locale, ) Eventuellement, les autres sources d informations tierces Ils seront naturellement utilisés pour alimenter et mettre à jour «en automatique» l annuaire ENT. Si les premiers projets pilotes ENT se sont appuyés sur les bases établissement (bases élèves et personnels), il faudra privilégier les alimentations à partir de bases académie, une fois cellesci opérationnelles (en particulier dans le cadre des projet SCONET ou AGRICOL). Page 26/83

Type d entrées : Personnes : tuteurs légaux, élèves, personnels Établissements : collèges, lycées, Groupes structurels :: classe, filière, niveau d étude Type d entrées : Personnes : correspondants tiers Établissements : CFA Groupes structurels : classe, filière, niveau d étude Annuaire académique «fédérateur» Annuaire national AGRICOL Annuaires partenaires privés / publics Autres sources de données Alimentation et mise à jour de l annuaire ENT Type d entrées : Personnes : tuteurs légaux, élèves, personnels, correspondants tiers Établissements : collèges, lycées, Groupes structurels : classe, filière, niveau d étude Alimentation manuelle Annuaire ENT Type d entrées : Personnes : tuteurs légaux, élèves, personnels, correspondants tiers Établissements : collèges, lycées, CFA Groupes structurels : classe, filière, niveau d étude L annuaire ENT doit pouvoir également être alimenté au «coup par coup» par un processus d inscription (ou de mise à jour) manuel (remplissage de formulaire) effectué par le nouvel arrivant dans l ENT. Il s agira, dans la phase de conception du système cible, de caractériser les principes d alimentation et de mise à jour de l annuaire. Le titulaire fournira des préconisations quant aux scénarios d alimentation de l annuaire : transfert de fichiers LDIF, mise en place d outils ETL La mise en place des mécanismes d alimentation ne fait pas partie du cadre de ce projet. L alimentation de l annuaire ENT doit respecter le cadre réglementaire imposé par la CNIL : Le processus d alimentation de l annuaire implique l intervention d une personne habilitée L utilisateur doit intervenir dans l activation de son compte La modification des informations d un utilisateur doit être autorisée par ce dernier Tout utilisateur doit pouvoir consulter et demander la modification des informations le concernant Tout utilisateur peut demander à ne pas être visible dans l annuaire Tout traitement informatique (élaboration de statistiques par exemple) des informations de l annuaire (élaboration de statistiques par exemple) doit être au préalable approuvé par la CNIL Evolutions à considérer Page 27/83

Les principes d alimentation et de mise à jour de l annuaire ENT pourront évoluer. La solution d annuaire ENT devra pouvoir prendre en compte de nouvelles méthodes et s appuyer sur de nouveaux outils répondant à des standards du marché du moment. 3.2.3 Gestion des identités et des habilitations : modèles d inscription Principes et exigences Trois modèles d inscription sont à envisager : Automatique : l utilisateur a immédiatement accès à un n de compte qu il pourra activer après avoir accepté la charte d utilisation de l ENT et, si nécessaire, changé le mot de passe Semi-automatique : l utilisateur fait une demande d ouverture de compte qui est traitée automatiquement, les informations fournies par l utilisateur étant comparées avec les informations stockées dans l annuaire et les bases d information de l ENT Au coup par coup : un administrateur intervient pour valider la demande d inscription émise par l utilisateur L Annexe B : Principes d inscription d un utilisateur décrit les principes d inscription relatifs à chaque modèle ainsi que les principes d activation et de validation des habilitations associées à un utilisateur. On cherchera systématiquement à réduire la charge des administrateurs de l annuaire en automatisant le plus possible le processus d inscription. Evolutions à considérer Pas d évolution particulière à envisager concernant la gestion des identités et des habilitations. 3.2.4 Gestion des identités et des habilitations : administration et délégation des informations de l annuaire ENT Principes et exigences Une fonction d administration «centrale» (enregistrement, modification, suppression en particulier) est nécessairement assurée par une personne ayant le rôle d administrateur central au niveau de l ENT. A côté de cette fonction, une fonction d administration «déléguée» peut être définie au niveau de chaque établissement ; on parlera d administrateur local d établissement. Cette délégation d administration permet à l établissement de gérer de manière indépendante les informations qui la concernent. Administration centrale ENT Informations établissement 1 Annuaire ENT Informations établissement 2 Administration locale d établissement Établissement 1 Établissement 2 Établissement 3 Page 28/83

Cela suppose de préciser au niveau organisationnel : Les principes d enregistrement de l administrateur délégué Les principes de mise à jour des informations (gestion du cycle de vie d une entrée) Les règles de délégation au niveau de la fonction d administration locale d établissement Evolutions à considérer Il n est pas nécessaire de prévoir d outils de «workflow» autour des fonctions d alimentation, de mise à jour et d activation des données. 3.2.5 Gestion des identités et des habilitations : définition des règles d accès Principes et exigences La gestion des droits s appuiera sur les principes énoncés dans le cadre du modèle RBAC proposé par l Institut National des Standards et de la Technologie (NIST) (http://crsc.nist.gov/rbac/). Les droits concernent les accès à : Un service applicatif Une ressource URL Un traitement Un ensemble d informations La définition des droits d accès doit être simple et efficace. Ainsi, on s appuiera sur : Une liste de profils pertinente (cf. 2.2 du chapitre 1) Des attributs complémentaires, par exemple : o La discipline d un utilisateur (mathématique, histoire géographie, ) o Sa fonction (professeur principal, délégué de classe, chef d établissement, ) L ensemble de ces informations et la politique d habilitation (règles d accès) seront stockés dans l annuaire ENT. Un utilisateur peut avoir plusieurs profils dans l ENT. Par exemple, un enseignant peut être aussi tuteur légal. Il faut donc homogénéiser les habilitations et contrôler les risques de conflits. Lors de sa connexion, l utilisateur pourra accéder à l ensemble de ses profils et ne sera pas obligé d ouvrir une autre session. La phase de spécification devra permettre de définir la politique d habilitation de l ENT en fonction des besoins exprimés dans le présent cahier des charges. Cette politique consiste à définir pour une identité, un groupe, un profil ou un rôle, les règles macroscopiques d accès aux services. Page 29/83

Evolutions à considérer Pas d évolution à considérer à ce jour sur le plan focntionnel. Principes et exigences 3.2.6 Le contrôle d accès Identification des acteurs Lors de son inscription des acteurs tels les élèves, les tuteurs légaux et les personnels de l éducation nationale, l identifiant fournit est un code générique construit à partir d information du référentiel source (par exemple : nom, prénom, INE, INA, NUMEN). Pour les autres utilisateurs (partenaires publics/privés, prestataires, ), l administrateur local (établissement, collectivité locale ) et/ou l administrateur central : Procèdera à un contrôle à partir de documents justifiant l identité de la personne (carte d identité par exemple) Attribuera un n d identification ou un nom de compte de messagerie L identifiant «post-inscription» créé lors de l inscription, permet à l utilisateur d être identifié et authentifié auprès des services de l ENT. Cet identifiant peut se représenter selon trois formats : Un identifiant institutionnel qui répond aux règles de construction d une adresse courriel. Il est représenté sous les formes canoniques suivantes : prenom.nom.nom _domaine. Le nom de domaine correspond au nom ou à la référence de l établissement. Un alias associé reconnu uniquement au sein de l ENT. Il doit être unique dans l'établissement et cette unicité est gérée selon la règle «premier demandeur, premier servi». Les conventions de nommage des identifiants (règles d homonymie, prénoms et noms composés, ) s appuient sur les recommandations AAS (annexe du SDET). Authentification des acteurs La fonction d authentification ne concerne que l ENT et les services dépendants. L authentification au niveau du poste de travail (ouverture de session) ou à des environnements autres que l ENT n est pas de la responsabilité de l ENT. On retiendra les principes suivants : On s appuiera, comme principe de base, sur une authentification par login/mot de passe, en reconnaissant que certains services (comme, par exemple, les services d accueil) n ont pas besoin d authentification Dans l hypothèse ou un service applicatif aurait besoin d une authentification forte, il s appuierait sur des mécanismes d authentification qui lui seraient propres et qui viendraient en complément des mécanismes d authentification gérés au niveau du socle Page 30/83

Le titulaire proposera une politique de gestion des mots de passe qui permettra, tout en respectant les principes de confidentialité essentiels, de : Affecter un nouveau de passe, en cas d oubli, en cherchant à automatiser au maximum la procédure (Méthode de question/réponse par exemple) Analyser la complexité des mots de passe proposés et, si nécessaire, les refuser Suivre l âge des mots de passe et, si nécessaire, forcer leur renouvellement Les services applicatifs gèreront : L historique de connexion qui leur est nécessaire pour le pilotage de leur activité ou l identification de fraude potentielle. Le blocage d un compte utilisateur pendant une période donnée Autorisation d accès à un service L autorisation d accès aux services et processus de l ENT est le résultat de l application des règles d accès définies dans le cadre d une politique d habilitation (cf. 3.2.5 de ce chapitre). On cherchera au maximum à définir des règles par rapport à des profils (ou des rôles organisationnels). Evolutions à considérer Le socle doit pouvoir évoluer facilement pour intégrer des composants permettant de traiter des authentifications fortes (en particulier à base de certificats et/ou de token ou cartes à puce). 3.2.7 La fédération des identités et des droits Principes et exigences Dans la mesure où l ENT permet d accéder à des services tiers, il faut que ces différents espaces puissent : Partager les identités et les droits de chaque utilisateur Si nécessaire, enrichir le «profil» d un utilisateur en fédérant ses attributs Le titulaire proposera une solution permettant de mettre en œuvre des mécanismes de fédération d identité et de droits selon le modèle Liberty Alliance. Evolutions à considérer Le socle ENT devra pouvoir évoluer vers des méthodes et des mécanismes de fédération conforme avec l état de l art du moment. 3.2.8 La propagation des identités et des droits Principes et exigences Dans le cadre d un ENT (et, potentiellement des services tiers associés), il faut simplifier au maximum les conditions d accès des utilisateurs aux services applicatifs en leur évitant d avoir à s authentifier plusieurs fois. Cette fonction dite de SSO (Single Sign-On) ne concernera que les services Web. En effet, l utilisation d une fonction SSO dans des environnements mixtes (services Web / services de Page 31/83

production traditionnels ou «legacy») est beaucoup plus coûteuse et complexe à mettre en œuvre et ne se justifiera pas. Le socle ENT ne gère que le SSO pour les services de l ENT et éventuellement les services qui en dépendent (par exemple, l accès à un service distant à l ENT et non intégré au portail). Evolutions à considérer La propagation des droits devra évoluer vers des mécanismes inter espaces. 3.3 Services socle mutualisés Les services socle mutualisés s organisent autour : Des services de messagerie de base Des services d administration et d exploitation Des services de stockage Des services de sauvegarde et d archivage Des services de sécurité Des bases d informations communes Une aide en ligne Page 32/83