Guide de mise en œuvre client Vérification d'utilisateur Shibboleth 2015-05-04 Version 3.5
SOMMAIRE Introduction... 1 Objectif et public visé... 1 Termes fréquemment utilisés... 1 Aperçu de la vérification d'utilisateur Shibboleth... 4 Qu'est-ce que la vérification d'utilisateur?... 4 Qu'est-ce que Shibboleth?... 4 Fédérations Shibboleth... 5 Comment fonctionne Shibboleth?... 6 Diagramme d'expérience client... 7 Mise en œuvre de Shibboleth en un coup d'oeil... 7 Configurer votre fournisseur d'identité (IdP)... 8 Identifiants métadonnées et entité Kivuto... 8 Attributs... 8 Configurer Shibboleth sur votre boutique en ligne ELMS... 13 Configurer Shibboleth en tant que type de vérification de boutique en ligne... 13 Configuration de la vérification Shibboleth... 14 Onglet Détails... 14 Onglet Paramètres... 14 Onglet Diagnostiques... 16 Procédures après la mise en œuvre... 17 Tester votre intégration... 17 Test du flux de travail... 17 Validation... 17 Dépannage... 18 Restauration des rôles d'administration... 20 Scénarios de mise en œuvre de Shibboleth... 22 Cas 1 : Boutique en ligne ELMS d'établissement pour UN SEUL membre de fédération... 22 Cas 2 : Boutique en ligne ELMS de département pour un seul membre de fédération... 23 Cas 3 : Boutique en ligne ELMS intégrée pour un seul membre de fédération... 24 Cas 4 : Boutique en ligne ELMS pour TOUS les membres d'une fédération... 25 Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 1
Support technique... 26 Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 2
Introduction Cette section couvre les domaines suivants : Objectif et public visé Termes fréquemment utilisés OBJECTIF ET PUBLIC VISÉ Ce document vous donne des instructions détaillées pour établir un mécanisme d'authentification unique entre le fournisseur d'identité Shibboleth existant du client Kivuto et la boutique en ligne ELMS Kivuto. Ce document est principalement destiné aux administrateurs ELMS et au personnel technique qui gère les services d'identité de leur établissement. Lisez ce document conjointement avec l'aide en ligne disponible sur le site web d'administration e5. TERMES FRÉQUEMMENT UTILISÉS Terme ELMS / e5 Définition/Description Système de gestion de licence électronique Client Acheteur Une organisation qui utilise Shibboleth pour authentifier les acheteurs afin de leur permettre d'utiliser une boutique en ligne ELMS. Dans le site Web d administration d ELMS, un client est un établissement, considéré comme une organisation. Utilisateur connecté à une boutique en ligne ELMS. Boutique en ligne Site Web d e-commerce ELMS Kivuto qui vend des produits au nom du client. Boutique en ligne d'établissement Une boutique en ligne associée à un accord de distribution de logiciels couvrant l'établissement dans son ensemble (ex. : DreamSpark Standard). Tous les membres d'une organisation dans son ensemble sont éligibles pour commander des logiciels dans les boutiques en ligne de ce type. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 1
Terme Boutique en ligne de département Boutique en ligne intégrée Administration ELMS Shibboleth Fournisseur d'identité (IdP) Fournisseur de services (SP) ID d'entité Définition/Description Une boutique en ligne associée à un accord de distribution de logiciels couvrant un département en particulier (ex. : DreamSpark Premium). Seuls les membres d'un département en particulier au sein d'un établissement sont éligibles pour commander des logiciels dans les boutiques en ligne de ce type. Une boutique en ligne ELMS associée à plusieurs accords de distribution de logiciels, couvrant à la fois l'organisation dans son ensemble et des départements en particulier. Tous les membre d'un établissement dans son ensemble peuvent se connecter aux boutiques en ligne de ce type et sont éligibles pour commander des logiciels dans le cadre du (des) accord(s) couvrant tout l'établissement. Les membres des départements éligibles auront accès aux logiciels proposés dans le cadre des accords couvrant leur département en particulier. Module d'administration ELMS sécurisé qui permet de gérer une boutique en ligne et de configurer la vérification de l'utilisateur. Ce module n est accessible qu aux utilisateurs autorisés. De http://shibboleth.net: «Le système Shibboleth est un package open source basé sur des normes qui permet d'effectuer une authentification Web unique à l'échelle d'une ou plusieurs organisations. Il permet à des sites de prendre des décisions d'authentification informées afin d'accorder un accès individuel aux ressources en ligne protégées tout en préservant la confidentialité.» «Fournisseur d'identité». Le logiciel est utilisé par un établissement comportant des utilisateurs qui souhaitent accéder à un service restreint. «Fournisseur de service». Logiciel exécuté par le fournisseur gérant le service limité (par exemple, Kivuto). Nom unique d'un fournisseur d'identité ou de services au sein d'un déploiement Shibboleth. La valeur de l'id d'entité de Kivuto est : https://e5.onthehub.com. Métadonnées Attributs Code externe de l'organisation Données de configuration utilisées par les fournisseurs d'identité et de services pour communiquer entre eux. Assertions effectuées par un fournisseur d'identité à propos d'une personne tel qu'un identificateur unique ou une adresse e-mail. Code fourni par un établissement ou son établissement parent à des fins d'identification au cours des communications avec un service de vérification par authentification unique tel que Shibboleth. Pour les boutiques en ligne de départements, un attribut correspondant à ce code doit être établi afin de limiter l'accès aux seuls membres d'un département éligible. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 2
Terme WAYF Définition/Description Provenance - Services de détection Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 3
Aperçu de la vérification d'utilisateur Shibboleth Cette section couvre les domaines suivants : Qu'est-ce que la vérification d'utilisateur? Qu'est-ce que Shibboleth? Comment fonctionne Shibboleth? o Diagramme d'expérience client Mise en œuvre de Shibboleth en un coup d'oeil QU'EST-CE QUE LA VÉRIFICATION D'UTILISATEUR? La vérification d'utilisateur est la méthode d'authentification de l'éligibilité d'un utilisateur de boutique en ligne à commander des logiciels. Seuls les utilisateurs authentifiés peuvent acheter un logiciel sur votre boutique en ligne. L'administrateur ELMS doit définir le mode d'authentification de ses utilisateurs. On parle de méthodes de vérification. Il existe de nombreuses méthodes de vérification qui peuvent être utilisées pour authentifier les utilisateurs, notamment le domaine de messagerie, l'importation d'utilisateurs, la vérification intégrée de l'utilisateur (VIU) et Shibboleth (à partir d'un programme d'identité fédérée). QU'EST-CE QUE SHIBBOLETH? Shibboleth est une méthode de vérification à authentification unique (SSO) qui est largement adoptée dans les communautés académiques du monde entier. Les raisons s'étendent de ses origines open source à son modèle de protection de la confidentialité qui donne aux individus et établissements un immense contrôle sur les renseignements personnels transmis aux parties externes. Shibboleth est souvent utilisé par une fédération ou un groupe d'établissements. Par exemple, InCommon est une fédération d'organisations aux Etats-Unis. Canadian Access Federation est un groupe offrant des services Shibboleth aux institutions pédagogiques canadiennes. Les personnes requérant des renseignements généraux sur Shibboleth doivent se référer au site Web du projet à l'adresse http://shibboleth.net. Des démos étape par étape du processus d'authentification sont disponibles à l'adresse http://www.switch.ch/aai/demo/easy.html. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 4
FÉDÉRATIONS SHIBBOLETH Les clients utilisant Shibboleth avec ELMS doivent être membres d'une fédération auprès de laquelle Kivuto est un fournisseur de services. Reportez-vous à Sommaire 1 pour obtenir une liste des fédérations liées à Kivuto. Sommaire 1 : Liste des fédérations Fédération SWITCH InCommon Canadian Access Federation (CAF) UK Federation WAYFDK SWAMID Haka Belnet Edugate DFN IDEM RENATER ACO GRNET Pays Suisse États-Unis Canada Royaume-Uni Danemark Suède Finlande Belgique Irlande Allemagne Italie France Autriche Grèce Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 5
Fédération GakuNin AAF Pays Japon Australie COMMENT FONCTIONNE SHIBBOLETH? Voici les étapes typiques d'une authentification Shibboleth dans une boutique en ligne ELMS : Un acheteur arrive dans une boutique en ligne ELMS : Lorsque l'acheteur clique sur le lien pour se connecter ou exécute une action qui nécessite une authentification (par exemple, l'ajout d'un élément au panier), le logiciel du fournisseur de services (SP) Shibboleth intégré à la boutique en ligne ELMS redirige l'acheteur vers la page de connexion du fournisseur d'identité Shibboleth du client ou un service de détection à distance (WAYF), le cas échéant. L'acheteur choisit son organisation d'accueil : Cette étape n'est généralement pas nécessaire, mais est disponible pour des cas où plusieurs membres d'une fédération accèdent à la même boutique en ligne ELMS. Le service de détection fournit une liste des organisations dans laquelle l'acheteur choisit son organisation d'origine et redirige ensuite l'acheteur vers le site du client. Le site du client authentifie l'acheteur : Le site du client invite l'acheteur à entrer ses informations de connexion et authentifie l'utilisateur. Cette authentification est coordonnée par le logiciel du fournisseur d'identité Shibboleth (IdP) du client. L'IdP établit un ensemble minimum d'attributs pour l'acheteur qui est requis par Kivuto. Le site redirige ensuite l'acheteur vers la boutique en ligne ELMS. La boutique en ligne ELMS authentifie l'acheteur : Les attributs fournis par l'idp du client sont utilisés pour créer un ensemble d'informations de connexion sur la boutique en ligne ELMS (compte d'utilisateur). Cette action complète le processus de vérification et la page d'origine demandée par l'acheteur s'affiche. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 6
DIAGRAMME D'EXPÉRIENCE CLIENT ELMS Détection (WAYF) IdP client L acheteur clique sur le lien de connexion ELMS traite les attributs de l'acheteur L'acheteur choisit une organisation d'origine (le cas échéant) L acheteur entre son nom d'utilisateur et son mot de L acheteur peut débuter ses achats! MISE EN ŒUVRE DE SHIBBOLETH EN UN COUP D'OEIL + + TESTER VOTRE INTEGRATION Configurer votre fournisseur d'identité (IdP). Configuration d'elms pour communiquer avec votre IdP Délivrer des attributs aux identifiants d'entité Kivuto Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 7
Configurer votre fournisseur d'identité (IdP) Cette section couvre les domaines suivants : Identifiants métadonnées et entité Kivuto Attributs IDENTIFIANTS MÉTADONNÉES ET ENTITÉ KIVUTO Si votre établissement est un fournisseur d'identité dans une fédération qui a accepté Kivuto comme fournisseur de services, alors chaque identifiant peut être trouvé dans les métadonnées publiées par la fédération. L'ID d'entité utilisé par Kivuto est : https://e5.onthehub.com. ATTRIBUTS L'ensemble minimum d'assertions d'identité requis par Kivuto est le suivant : Un identificateur unique par acheteur o Cela permet à l'acheteur d'être identifié sur plusieurs connexions. Une liste d'affiliations à un groupe o Cela permet à l'acheteur d'accéder aux produits réservés à des membres de groupes d'utilisateurs spécifiques. Par exemple, un produit peut uniquement être disponible pour une faculté ou les membres du personnel d'une université. Des assertions d'identité supplémentaires peuvent être effectuées (transmises durant l'intégration) afin de personnaliser davantage le WebStore ELMS pour vos utilisateurs. Pour obtenir une liste des attributs, reportez-vous au Tableau 2 : Attributs ci-dessous. Remarque : Les attributs devant être communiqués dépendent du scénario de mise en œuvre. Reportezvous à Scénarios de mise en œuvre de Shibboleth pour déterminer les attributs nécessaires à votre mise en œuvre. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 8
Sommaire 2 : Attributs Attribut edupersontargetedid urn:mace:dir:attribute-def:edupersontargetedid: urn:oid:1.3.6.1.4.1.5923.1.1.1.10 Description Identificateur unique d'un utilisateur. S'il est opaque, il est peut-être souhaitable d'utiliser le paramètre «Hide Username» (masquer le nom d'utilisateur) (voir Tableau 3 : Paramètres). persistent ID (SAML 2.0) urn:oasis:names:tc:saml:2.0:nameid-format:persistent uid urn:mace:dir:attribute-def:uid urn:oid:0.9.2342.19200300.100.1.1 SwissEP_UniqueID urn:mace:switch.ch:attribute-def:swissedupersonuniqueid urn:oid:2.16.756.1.2.5.1.1.1 edupersonprincipalname urn:mace:dir:attribute-def:edupersonprincipalname urn:oid:1.3.6.1.4.1.5923.1.1.1.6 Identificateur unique d'un utilisateur. Identificateur unique d'un utilisateur. Identificateur unique d'un utilisateur (SWITCHaai). Identificateur unique d'un utilisateur. Peut être utilisé en combinaison avec d'autres ID uniques. Dans ce cas, edupersonprincipalname sera l'identifiant de l'utilisateur et l'autre ID sera capturé comme identificateur du membre sur une vérification de l'utilisateur. edupersonscopedaffiliation urn:mace:dir:attribute-def:edupersonscopedaffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9 Accorde l'éligibilité à un utilisateur via l'adhésion à un groupe d'utilisateurs. La valeur de l'attribut mappe à un groupe d'utilisateur de la façon suivante : Important : Cet attribut et ces valeurs par défaut sont prévus pour être adoptés par des organisations académiques. Les entreprises doivent peut être adopter des paramètres différents pour indiquer l'éligibilité de leurs utilisateurs. Veuillez consulter le gestionnaire de votre compte pour obtenir plus de détails. student-> Etudiants faculty -> Enseignants staff -> Personnel employee -> Enseignants/ Personnel member -> Etudiants/ Enseignants/ Personnel edupersonaffiliation urn:mace:dir:attribute-def:edupersonaffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.1 Accorde l'éligibilité à un utilisateur. Même mappage que celui de l'attribut Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 9
Attribut edupersonprimaryaffiliation urn:mace:dir:attribute-def:edupersonprimaryaffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.5 ismemberof urn:mace:dir:attribute-def:ismemberof urn:oid:1.3.6.1.4.1.5923.1.5.1.1 Description Accorde l'éligibilité à un utilisateur. Même mappage que celui de l'attribut Utilisé pour le mappage personnalisé d'une organisation ou groupe d'utilisateurs. Plusieurs valeurs, utilisation de délimitateurs par virgule ou point-virgule. Des valeurs peuvent être qualifiées, par exemple, urn:mace:example.edu:groups:groupcode. La dernière partie des valeurs qualifiées est utilisée lors de la comparaison avec les codes système. Pour les groupes d'utilisateurs, les valeurs seront comparées aux champs Code de groupe d'utilisateurs qui se trouvent sur le site Web de l'administration e5 sous la section Utilisateurs -> Groupes d'utilisateurs. Une fois ceci effectué, l'utilisateur se verra accordé le statut de membre dans le groupe correspondant. Pour les établissements, les valeurs seront comparées au code externe d'établissement (qui peut être consulté après avoir été fourni par Kivuto sur la page de l'établissement du site Web d'administration ELMS) pour la boutique en ligne de l'établissement ou tout établissement affilié. Lorsqu'une comparaison est effectuée, une vérification de l'utilisateur est créée pour l'utilisateur les liant à l'organisation avec les groupes d'utilisateurs correspondants. Cela peut être utilisé, par exemple, pour spécifier qu'un utilisateur est un membre dans un département spécifique. Remarque : Les établissements disposant de boutiques en ligne de départements doivent adopter un attribut utilisé pour leur mappage qui correspond à leur code externe d'établissement. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 10
Attribut edupersonentitlement urn:mace:dir:attribute-def:edupersonentitlement SAML2: urn:oid:1.3.6.1.4.1.5923.1.1.1.7 Description Utilisé pour le mappage personnalisé d'une organisation ou groupe d'utilisateurs. Consultez ismemberof pour obtenir des détails sur la façon dont les valeurs sont mappées. Les valeurs sont des URI, soit des URN ou des URL. N'importe quelle URN peut être utilisée (ex. : urn:mace:school.edu:exampleresource). La valeur de l'urn dans son ensemble (urn:mace:school.edu:exampleresource) et la chaîne propre à l'espace de noms (exampleresource) seront toutes deux comparées aux mappages du groupe et de l'organisation. Seules des URL sous la forme http://[sp]/eligibility/[idp]/[code] peuvent être utilisées. Elles ne sont pas réglables. La chaîne de valeurs ([code]) est comparée aux mappages du groupe et de l'organisation. Remarque : Les établissements disposant de boutiques en ligne de départements doivent adopter un attribut utilisé pour leur mappage qui correspond à leur code externe d'établissement. ou urn:mace:dir:attribute-def:ou urn:oid:2.5.4.11 Utilisé pour le mappage d'organisations. Plusieurs valeurs, les délimitations par virgule ou point-virgule sont souhaitées. Les valeurs seront comparées au code externe d'établissement (qui peut être consulté après avoir été fourni par Kivuto sur la page de l'établissement du site Web d'administration ELMS). Lorsqu'une comparaison est effectuée, une vérification de l'utilisateur est créée pour l'utilisateur les liant à l'organisation avec les groupes d'utilisateurs correspondants. Cela peut être utilisé, par exemple, pour spécifier qu'un utilisateur est un membre dans un département spécifique. Remarque : Les établissements disposant de boutiques en ligne de départements doivent adopter un attribut utilisé pour leur mappage qui correspond à leur code externe d'établissement. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 11
Attribut edupersonorgunitdn urn:mace:dir:attribute-def:edupersonorgunitdn urn:oid:1.3.6.1.4.1.5923.1.1.1.4 Description Utilisé pour le mappage d'organisations. Le ou les noms distingués des entrées du directoire représentant l'unité organisationnelle de l'utilisateur. Plusieurs valeurs, utilisation des barres verticales ( ) comme délimitateurs. Des valeurs sont attendues dans le formulaire DN, par exemple «ou=potions, o=hogwarts, dc=hsww, dc=wiz». Dans l'exemple, Potions doit être la valeur analysée et comparée aux champs Code d'organisation externe (voir ou). Remarque : Les établissements disposant de boutiques en ligne de départements doivent adopter un attribut utilisé pour leur mappage qui correspond à leur code externe d'établissement. Surname urn:mace:dir:attribute-def:sn urn:oid:2.5.4.4 Surnom de l'utilisateur. givenname urn:mace:dir:attribute-def:givenname urn:oid:2.5.4.42 Nom donné de l'utilisateur. mail urn:mace:dir:attribute-def:mail urn:oid:0.9.2342.19200300.100.1.3 homeorganization urn:mace:switch.ch:attribute-def:swissedupersonhomeorganization urn:oid:2.16.756.1.2.5.1.1.4 homeorganizationtype urn:mace:switch.ch:attributedef:swissedupersonhomeorganizationtype urn:oid:2.16.756.1.2.5.1.1.5 Adresse e-mail de l'utilisateur. L'organisation à laquelle l'utilisateur appartient (SWITCHaai). Le type d'organisation à laquelle l'utilisateur appartient. Une valeur de «université» ou «uas» est requise pour l'utilisateur afin qu'il reçoive l'éligibilité académique (SWITCHaai). Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 12
Configurer Shibboleth sur votre boutique en ligne ELMS Cette section couvre les domaines suivants : Configurer Shibboleth en tant que type de vérification de boutique en ligne Configuration de la vérification Shibboleth o Détails o Paramètres o Diagnostiques Important : Toutes les tâches décrites dans cette section doivent être effectuées par un administrateur ELMS inscrit et actif une fois connecté sur le site d'administration ELMS (https://e5.onthehub.com/admin). Pour vous connecter, vous devez vous munir du numéro de compte de votre établissement et d'un nom d'utilisateur et mot de passe valides. CONFIGURER SHIBBOLETH EN TANT QUE TYPE DE VÉRIFICATION DE BOUTIQUE EN LIGNE Avant de configurer Shibboleth sur votre boutique en ligne ELMS, vous devez définir Shibboleth en tant que type de vérification. Pour configurer Shibboleth comme type de vérification : 1. Sur le site d'administration e5, cliquez sur : Boutique en ligne. 2. Cliquez sur l'onglet Vérification. Une liste des types de vérification déjà configurés est affichée. "Importation d'utilisateurs" ou un autre type de vérification peut avoir été configuré par défaut sur votre boutique en ligne lors de son déploiement. 3. Cliquez sur la case à cocher qui se trouve à côté de tout type de vérification autre que Shibboleth, puis cliquez sur le bouton Supprimer (ou le lien Désactiver dans la colonne d'actions située à côté de n'importe quel type de vérification autre que Shibboleth). 4. Cliquez sur le bouton Ajouter. Une nouvelle fenêtre s'ouvre. 5. Cochez la case située en regard de Shibboleth. 6. Cliquez sur le bouton OK pour enregistrer votre sélection. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 13
CONFIGURATION DE LA VÉRIFICATION SHIBBOLETH Une fois que Shibboleth a été défini en tant que type de vérification pour votre établissement, vous devez le configurer. Pour configurer Shibboleth : 1. Dans le menu principal, cliquez sur Boutique en ligne. 2. Cliquez sur l'onglet Vérification. 3. Cliquez sur le lien Shibboleth. Une nouvelle fenêtre s'ouvre. Elle contient deux onglets : Détails et Paramètres. ONGLET DÉTAILS Il n'est généralement pas nécessaire ni conseillé de modifier les valeurs par défaut contenues dans les champs de cet onglet. Faites attention si vous voulez modifier les valeurs par défaut pour «Secteur» et «Délai d'expiration des vérifications». Si vous modifiez ces valeurs, vous risquez d'endommager votre mise en œuvre et vos utilisateurs finaux ne pourront plus se connecter à la boutique en ligne ELMS. ONGLET PARAMÈTRES La page Paramètres affiche l'ensemble des informations client (établissement) requis par Kivuto. Voir tableau 3 : Paramètres. Remarque : Les paramètres requis dépendent du scénario de mise en œuvre. Reportez-vous à Scénarios de mise en œuvre de Shibboleth pour déterminer les paramètres nécessaires à votre mise en œuvre. Sommaire 3 : Paramètres Informations Partie dépendante Description Liste des fédérations dont Kivuto est membre (comme par exemple InCommon, SWITCHaai). Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 14
Informations Fournisseur d'identité EntityID Description Les services de détection de la fédération (WAYF) peuvent être contournés en fournissant une valeur pour ce paramètre. Si la boutique en ligne est spécifique à un IdP unique, alors cette valeur devrait être considérée comme requise. La valeur devrait être exactement telle qu'elle est trouvée dans les métadonnées. Par exemple : urn:mace:incommon:myorg.edu or https://shibboleth.myorg.edu Adresse de messagerie de l'administrateur VIU Adresses électroniques des personnes (ou des listes de distribution) qui vont recevoir les messages d'erreur de la part d'elms. Masquer le nom d'utilisateur Lorsque la case est cochée, ce paramètre empêche l'identificateur unique d'un utilisateur d'être affiché dans plusieurs endroits de l'interface utilisateur de la boutique en ligne. Cela s'avère utile lorsqu'un nom d'utilisateur adapté à l'écran n'est pas fourni (par exemple, un GUID) dans le cadre d'un ensemble d'attributs envoyé par l'idp. URL de redirection à la déconnexion L'URL vers laquelle un utilisateur sera redirigé lorsqu'il se déconnecte de la boutique en ligne et du fournisseur de services Shibboleth. Si l'emplacement est laissé vide, lors de la déconnexion, l'utilisateur restera sur la boutique en ligne et verra un message du type : «Vous êtes déconnecté de ce site Web, mais vous êtes toujours connecté dans notre système à authentification unique. Si vous souhaitez vous déconnecter complètement, vous DEVEZ fermer votre navigateur." Activer le mode Diagnostiques Lorsque ce mode est activé, les données d'état du serveur sont enregistrées à chaque tentative de connexion, et les plus récentes peuvent être affichées dans l'onglet Diagnostiques. Voir la section Dépannage sous Tester votre intégration. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 15
Informations Restreindre la portée de l'éligibilité Description Si la case est cochée, les attributs d'éligibilité (par exemple, edupersonscopedaffiliation) seront uniquement traités pour les utilisateurs disposant d'attributs d'accompagnement qui contiennent des informations de mappage de l'organisation (ou, edupersonorgunitdn, ismemberof, edupersonentitlement). Si la case est décochée, les attributs d'éligibilité seront traités pour tous les utilisateurs. Si des attributs de mappage de l'établissement d'accompagnement sont présents, les utilisateurs recevront une adhésion aux établissements correspondants. Dans le cas contraire, les utilisateurs recevront une adhésion à l'organisation de la boutique en ligne. Ces données peuvent être consultées une fois connecté en examinant les enregistrements de vérifications d'utilisateurs correspondants (Utilisateurs» [sélectionner utilisateur]» Vérifications). Remarque : Cette option doit être sélectionnée si vous configurez Shibboleth pour une boutique en ligne de département afin que seuls les membres d'un département en particulier puissent être éligibles. Cette option ne doit être sélectionnée qu'une seule fois. ONGLET DIAGNOSTIQUES La page des diagnostiques affiche les données enregistrées au cours des tentatives de connexion récentes. Rien ne s'affiche si le mode Diagnostiques n'est pas activé sur la page Paramètres (voir Sommaire 3 : Paramètres). Pour obtenir plus de détails sur les informations affichées, reportez-vous à la section Dépannage sous Tester votre intégration. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 16
Procédures après la mise en œuvre Cette section décrit les étapes à suivre une fois l'intégration terminée. Elle comprend : Tester votre intégration Restauration des rôles d'administration TESTER VOTRE INTÉGRATION TEST DU FLUX DE TRAVAIL Veuillez trouver ci-dessous les étapes courantes nécessaires pour tester votre mise en œuvre. 1. Configurez votre IdP. 2. Configurez votre boutique en ligne ELMS. 3. Déclenchez le processus d'authentification depuis votre boutique en ligne ELMS. Si vous êtes déjà connecté au site de l'administration, vous devrez d'abord vous déconnecter ou utiliser un navigateur différent. Si le type de vérification Shibboleth est au statut Test, vous devrez utiliser l'url de test disponible dans Boutique en ligne» Vérification qui active les méthodes de vérification de test lors de l'accès à votre boutique en ligne. 4. Procédez à l'authentification avec votre IdP et assurez-vous que vous être connecté à votre boutique en ligne ELMS. 5. Validez les données créées pour l'utilisateur dans votre boutique en ligne ELMS, tel que décrit dans la section suivante. 6. Lorsque tout fonctionne convenablement, contactez Kivuto pour poursuivre. VALIDATION Une fois l'authentification terminée, il est utile de voir le profil d'un utilisateur pour s'assurer que tous les groupes d'éligibilité attendus et les informations de personnalisation ont été correctement définis. À partir de la boutique en ligne : 1. Cliquez sur le lien Votre compte/commandes situé au-dessus de la bannière de la page. 2. Cliquez sur le lien Détails du compte. Toutes les informations de personnalisation transmises s'affichent. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 17
3. Revenez à la page Votre compte/commandes et cliquez sur le lien Votre éligibilité pour afficher les groupes d'éligibilité auxquels votre compte a été assigné. À partir du site de l'administration ELMS : 1. Dans le menu principal, cliquez sur Utilisateurs. 2. Recherchez l'utilisateur souhaité et cliquez sur le nom d'utilisateur pour naviguer dans la page des détails. Toutes les informations de personnalisation transmises s'affichent. 3. Ouvrez l onglet Vérifications. Pour chaque authentification réussie, il y aura une entrée qui contiendra la liste souhaitée des groupes d'éligibilité. DÉPANNAGE Si vous rencontrez des problèmes au cours de l'identification ou si les informations de personnalisation ou d'éligibilité n'ont pas été crées de la façon souhaitée pour vos utilisateurs, il peut être utile d'activer le mode Diagnostiques (voir Sommaire 3). Les données enregistrées au cours des tentatives de connexion (ayant abouti ou non) récentes seront ensuite affichées dans l'onglet Diagnostique Shibboleth. Le fait de cliquer sur une seule tentative de connexion fait apparaître la page Détails qui contient les sections suivantes : Utilisateur o Nom d'utilisateur, prénom, nom de famille et adresse de messagerie. Vide pour les tentatives non-abouties Vérifications d'un utilisateur o Pour chaque organisation sur laquelle l'utilisateur a été mappé (par le biais de ou, ismemberof, etc.), la vérification utilisateur correspondante ainsi que l'identifiant membre unique, la date d'expiration de la vérification et l'appartenance à des groupes d'utilisateurs. Vide pour les tentatives non-abouties Variations du serveur Shibboleth o Les variations du serveur ISS faisant partie de la session Shibboleth et actives au cours de la tentative de connexion. Si les attributs attendus n'apparaissent pas ici, alors cela veut dire que le serveur Shibboleth les a rejeté à cause d'un mappage n'étant pas pris en charge ou d'un format de valeurs incorrect. Pour obtenir des détails sur la façon dont les entrées présentes dans la section Variations du serveur Shibboleth mappent aux attributs Shibboleth, reportez-vous à Sommaire 4 : Variations du serveur Shibboleth. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 18
Autres variations du serveur o Autres variations du serveur ISS actives au cours de la tentative de connexion. Pas forcément utile, mais présenté au cas où une variation n'a pas été correctement classifiée, et inclus dans la section Shibboleth ci-dessus. Sommaire 4 : Variations du serveur Shibboleth Nom variable HTTP_TARGETEDID HTTP_PERSISTENTID HTTP_AFFILIATION HTTP_ISMEMBEROF HTTP_ACADEMICCAREER HTTP_PRINCIPALNAME HTTP_GIVENNAME HTTP_MAIL HTTP_SURNAME HTTP_UID HTTP_ENTITLEMENT Nom(s) de l'attribut edupersontargetedid urn:oid:1.3.6.1.4.1.5923.1.1.1.10 urn:oasis:names:tc:saml:2.0:nameid-format:persistent urn:mace:dir:attribute-def:edupersonaffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.1 urn:mace:dir:attribute-def:edupersonscopedaffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.9 urn:mace:dir:attribute-def:edupersonprimaryaffiliation urn:oid:1.3.6.1.4.1.5923.1.1.1.5 urn:mace:dir:attribute-def:ismemberof urn:oid:1.3.6.1.4.1.5923.1.5.1.1 urn:mace:dir:attribute-def:academiccareer rn:oid:1.3.6.1.4.1.5524.1.13 urn:mace:dir:attribute-def:edupersonprincipalname urn:oid:1.3.6.1.4.1.5923.1.1.1.6 urn:mace:dir:attribute-def:givenname urn:oid:2.5.4.42 urn:mace:dir:attribute-def:mail urn:oid:0.9.2342.19200300.100.1.3 urn:mace:dir:attribute-def:sn urn:oid:2.5.4.4 urn:mace:dir:attribute-def:uid urn:oid:0.9.2342.19200300.100.1.1 urn:mace:dir:attribute-def:employeenumber urn:oid:2.16.840.1.113730.3.1,3 urn:mace:dir:attribute-def:edupersonentitlement urn:oid:1.3.6.1.4.1.5923.1.1.1.7 Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 19
Nom variable HTTP_OU HTTP_ORGUNITDN HTTP_UNIQUEID HTTP_HOMEORGANIZATION HTTP_HOMEORGANIZATIONTYPE HTTP_STUDYBRANCH1 HTTP_STUDYBRANCH2 Nom(s) de l'attribut urn:mace:dir:attribute-def:ou urn:oid:2.5.4.11 urn:mace:dir:attribute-def:edupersonorgunitdn urn:oid:1.3.6.1.4.1.5923.1.1.1.4 urn:mace:switch.ch:attribute-def:swissedupersonuniqueid urn:oid:2.16.756.1.2.5.1.1.1 urn:mace:switch.ch:attribute-def:swissedupersonhomeorganization urn:oid:2.16.756.1.2.5.1.1.4 urn:mace:switch.ch:attribute-def:swissedupersonhomeorganizationtype urn:oid:2.16.756.1.2.5.1.1.5 urn:mace:switch.ch:attribute-def:swissedupersonstudybranch1 urn:oid:2.16.756.1.2.5.1.1.6 urn:mace:switch.ch:attribute-def:swissedupersonstudybranch2 1. urn:oid:2.16.756.1.2.5.1.1.7 HTTP_STUDYBRANCH3 HTTP_STUDYLEVEL urn:mace:switch.ch:attribute-def:swissedupersonstudybranch3 urn:oid:2.16.756.1.2.5.1.1.8 urn:mace:switch.ch:attribute-def:swissedupersonstudylevel urn:oid:2.16.756.1.2.5.1.1.9 RESTAURATION DES RÔLES D'ADMINISTRATION La mise en œuvre de Shibboleth créé un nouveau compte pour chaque utilisateur de votre boutique en ligne. Lorsque le nouveau nom d'utilisateur d'un utilisateur ne correspond pas à l'ancien, les rôles d'administration ne sont pas passés de l'ancien compte au nouveau. Par conséquent, certains administrateurs de votre boutique en ligne pourraient ne pas avoir accès au site d'administration ELMS lorsqu'ils se connectent avec leur nouveau compte Shibboleth. Deux options se présentent aux administrateurs assignés s'ils souhaitent préserver leurs capacités d'administration antérieures. 1. Contacter l'équipe de soutien technique de Kivuto DreamSpark et leur demander que les rôles d'administration associés à leur ancien compte soient attribués à leur nouveau compte. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 20
Remarque : En fonction du rôle demandé, la demande peut devoir émaner de l'administrateur principal de votre boutique en ligne (à savoir la personne dont le nom a été utilisé pour l'émission de l'inscription de votre organisation à DreamSpark). 2. Continuez à vous connecter en utilisant les informations de connexion de votre ancien compte au lieu de Shibboleth. Ceci peut être réalisé via le portail de connexion d'administrateurs sur : e5.onthehub.com/admin. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 21
Scénarios de mise en œuvre de Shibboleth La nature de votre établissement, de votre boutique en ligne et de votre accord de distribution de logiciels détermine quels attributs décrits dans Sommaire 2 sont demandés par Kivuto et quels paramètres décrits dans Sommaire 3 doivent être configurés pour obtenir une mise en œuvre de la vérification Shibboleth réussie. Cette section décrit les scénarios de mise en oeuvre Shibboleth les plus courants et présente les exigences relatives à la mise en œuvre spécifique à chaque cas. Cas 1 : Boutique en ligne ELMS d'établissement pour UN SEUL membre de fédération Cas 2 : Boutique en ligne ELMS de département pour un seul membre de fédération Cas 3 : Boutique en ligne ELMS intégrée pour un seul membre de fédération Cas 4 : Boutique en ligne ELMS pour TOUS les membres d'une fédération CAS 1 : BOUTIQUE EN LIGNE ELMS D'ÉTABLISSEMENT POUR UN SEUL MEMBRE DE FÉDÉRATION Dans ce scénario, une boutique en ligne ELMS est déployée pour un seul membre de fédération (établissement) dans le cadre d'un accord couvrant l'établissement dans son ensemble (ex. : Dreamspark Standard). L'établissement est directement intégré à la fédération sans que les utilisateurs aient à choisir leur établissement par l'intermédiaire de services de détection (WAYF). Les exigences relatives à la mise en œuvre dans le scénario 1 sont les suivantes : Reportez-vous à Sommaire 2 et Sommaire 3 pour obtenir une description de chaque attribut et paramètre listé ainsi que des attributs ou paramètres facultatifs. Exigences relatives à l'attribut : Exigences relatives à la configuration ELMS : Identificateur unique d'un utilisateur. Par exemple : edupersontargetedid ID persistant UID edupersonprincipalname Identificateur d'éligibilité d'un utilisateur (groupe d'utilisateurs). Par exemple : edupersonscopedaffiliation edupersonaffiliation Sur la page des paramètres de vérification e5 de la boutique en ligne : Sélectionnez votre fédération dans le menu déroulant Partie dépendante. Identifiez votre fournisseur de services de détection dans le champ ID d'entité du fournisseur d'identité. Fournissez une Adresse de messagerie de Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 22
edupersonprimaryaffiliation ismemberof (for custom user groups) edupersonentitlement (for custom user groups) l'administrateur VIU. CAS 2 : BOUTIQUE EN LIGNE ELMS DE DÉPARTEMENT POUR UN SEUL MEMBRE DE FÉDÉRATION Dans ce scénario, une boutique en ligne ELMS est déployée pour un département spécifique du membre de fédération (établissement) dans le cadre d'un accord couvrant un département (ex. : Dreamspark Premium). Important : Un paramètre correspondant au code externe d'établissement du département doit être indiqué dans ce scénario afin que l'accès soit limité aux membres du département éligible. Les exigences relatives à la mise en œuvre dans le scénario 2 sont les suivantes : Reportez-vous à Sommaire 2 et Sommaire 3 pour obtenir une description de chaque attribut et paramètre listé ainsi que des attributs ou paramètres facultatifs. Exigences relatives à l'attribut : Exigences relatives à la configuration ELMS : Identificateur unique d'un utilisateur. Par exemple : edupersontargetedid ID persistant UID edupersonprincipalname Identificateur d'éligibilité d'un utilisateur (groupe d'utilisateurs). Par exemple : edupersonscopedaffiliation edupersonaffiliation edupersonprimaryaffiliation ismemberof (for custom user groups) edupersonentitlement (for custom user groups) Identificateur établissement (département) configuré pour correspondre au code externe d'établissement.** Par exemple : ismemberof edupersonorgunitdn ou Sur la page des paramètres de vérification e5 de la boutique en ligne : Sélectionnez votre fédération dans le menu déroulant Partie dépendante. Identifiez votre fournisseur de services de détection dans le champ ID d'entité du fournisseur d'identité. Fournissez une Adresse de messagerie de l'administrateur VIU. Sélectionnez l'option Restreindre la portée de l'éligibilité pour restreindre l'éligibilité aux membres du département souhaité. (Remarque : Il s'agit du seul scénario pour lequel cette option est sélectionnée.) Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 23
CAS 3 : BOUTIQUE EN LIGNE ELMS INTÉGRÉE POUR UN SEUL MEMBRE DE FÉDÉRATION Dans ce scénario, une boutique en ligne ELMS intégrée (ex. : une boutique en ligne combinant des accords d'établissement et de départements de sorte que certains utilisateurs puissent accéder à toutes les offres tandis que d'autres ne peuvent avoir accès à certaines seulement) est déployée pour un seul membre de fédération (établissement). Les exigences relatives à la mise en œuvre dans le scénario 3 sont les suivantes : Reportez-vous à Sommaire 2 et Sommaire 3 pour obtenir une description de chaque attribut et paramètre listé ainsi que des attributs ou paramètres facultatifs. Exigences relatives à l'attribut : Exigences relatives à la configuration ELMS : Identificateur unique d'un utilisateur. Par exemple : edupersontargetedid ID persistant UID edupersonprincipalname Identificateur d'éligibilité d'un utilisateur (groupe d'utilisateurs). Par exemple : edupersonscopedaffiliation edupersonaffiliation edupersonprimaryaffiliation ismemberof (for custom user groups) edupersonentitlement (for custom user groups) Identificateur établissement (département) configuré pour correspondre au code externe d'établissement.** Par exemple : ismemberof edupersonorgunitdn ou Sur la page des paramètres de vérification e5 de la boutique en ligne : Sélectionnez votre fédération dans le menu déroulant Partie dépendante. Identifiez votre fournisseur de services de détection dans le champ ID d'entité du fournisseur d'identité. Fournissez une Adresse de messagerie de l'administrateur VIU. **Note : Si une valeur correspondant au code externe d'établissement d'un département n'est pas adoptée, l'utilisateur sera toujours en mesure de se connecter mais ne pourra accéder aux produits proposés dans le cadre du (des) programme(s) de l'établissement. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 24
CAS 4 : BOUTIQUE EN LIGNE ELMS POUR TOUS LES MEMBRES D'UNE FÉDÉRATION Ce scénario implique le déploiement d'une boutique en ligne ELMS pour TOUS les membres d'une fédération. Au cours du processus de connexion, la boutique en ligne dirige l'utilisateur vers un site Web de services de détection (WAYF) où il peut choisir l'organisation à laquelle il appartient. Les exigences relatives à la mise en œuvre dans le scénario 4 sont les suivantes : Reportez-vous à Sommaire 2 et Sommaire 3 pour obtenir une description de chaque attribut et paramètre listé ainsi que des attributs ou paramètres facultatifs. Exigences relatives à l'attribut : Exigences relatives à la configuration ELMS : Identificateur unique d'un utilisateur. Par exemple : edupersontargetedid ID persistant UID edupersonprincipalname Identificateur d'éligibilité d'un utilisateur (groupe d'utilisateurs). Par exemple : edupersonscopedaffiliation edupersonaffiliation edupersonprimaryaffiliation ismemberof (for custom user groups) edupersonentitlement (for custom user groups) Sur la page des paramètres de vérification e5 de la boutique en ligne : Sélectionnez votre fédération dans le menu déroulant Partie dépendante. Ne saisissez PAS de valeur dans le champ ID d'entité du fournisseur d'identité (des services de détection seront utilisés à la place). Fournissez une Adresse de messagerie de l'administrateur VIU. Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 25
Support technique Si vous rencontrez des problèmes avec la configuration de Shibboleth pour ELMS ou que vous avez besoin d'une assistance technique, envoyez un courrier électronique à l'adresse suivante :shibboleth_support@kivuto.com. Dans votre courrier électronique, précisez les informations suivantes : Nom du client Nom du contact Adresse de messagerie du contact Numéro de téléphone du contact Numéro de compte ELMS Description détaillée du problème ou de la demande d informations Vérification de l'utilisateur Shibboleth : Guide de mise en œuvre client 2015-05-04 26