journée fédération renater–26 /09/ 2o18 gautier auburtin … · 2018. 9. 27. · 1....
TRANSCRIPT
Référentiel d’identités du Campus Condorcet
Journée Fédération Renater – 26 /09/ 2o18
Gautier Auburtin – Responsable SI & DPO
Présentation du Campus Condorcet
• Un projet innovant (2008-2019-*) • Campus de « recherche » en SHS• Ouverture en Sept. 2019 (Aubervilliers)
• 11 établissements fondateurs• CNRS, EHESS, ENC, EPHE, FMSH, INED,
Paris 1, Paris 3, Paris 8, Paris 10, Paris 13
• 2 Sites au nord de Paris• Aubervilliers (recherche SHS - 2019)• Paris la Chapelle (licences P 1 - 2022)
• Chercheurs & doctorants• 60 unités de recherche• 6 000 usagers (potentiel 15 000)
• Des équipements importants• Sièges INED, EPCC, EHESS (2020)• Bureaux mutualisés recherche• Grande bibliothèque de recherche (2020)• Centre de colloques• Hôtel à projets & espace associatif• Résidences étudiantes et de chercheurs
Perspective du Campus Condorcet (Nord-Sud)
Site de Porte de la ChapelleLicence Histoire Paris 1
Site d’AubervilliersStructures de recherche SHS
Grand équipement documentaire
Espace associatif
Centre de colloques
Logements étudiants
Bureaux chercheursRestauration
Siège de l’INEDLogements chercheurs
[projection 2013 / membres des unités de recherche ]
• 46 % Doctorants
• 13 % Docteurs
• 15 % Chercheurs
• 6% Profs. invités
• 12% ITA
• 6% Contractuels
Catégories d’usagers sur le Campus
« Profils » d’usagers sur le Campus
RESIDENTS• Membre d’un établissement• Poste de travail dédié• Accès aux espaces• Compte lecteur bibliothèque
RESIDENTS• Membre d’un établissement• Poste de travail dédié• Accès aux espaces• Compte lecteur bibliothèque
INVITE AVEC ACCES• Membre de l’unité• Chercheurs invité• Accès aux espaces
INVITE AVEC ACCES• Membre de l’unité• Chercheurs invité• Accès aux espaces
LECTEUR (BIBLIOTHEQUE)• Public universitaire ou général• Inscription annuelle
LECTEUR (BIBLIOTHEQUE)• Public universitaire ou général• Inscription annuelle
RIVERAIN• Public général• Accès espaces publics
RIVERAIN• Public général• Accès espaces publics
OPERATEUR• Entreprises accréditées• Accès aux espaces
OPERATEUR• Entreprises accréditées• Accès aux espaces
Principaux services nécessitant une identification
• Inscription dans le référentiel d’identités (RefId)Support à l’emménagement
• Enregistrement domaine (AD)Poste de travail
• Enregistrement réseau (MAC / IP | DHCP)Accès Internet filaire
• Identification sur Seafile ~ RéfId : authentification & profilStockage de fichiers en ligne
• Identification sur GLPI ~ RéfId : authentification & profilSupport Logistique
• Identification sur GLPI ~ RéfId : authentification & profilSupport Informatique
• Identification sur ADE ~ RéfId : authentification + profilRéservation d'espaces
• Contrôle d’accès (Badges)Accès aux bâtiments de recherche
• Carte multiservices CNOUS (cf. Badges)Restauration
• Inscription dans le référentiel d’identités (RefId)Accès à la bibliothèque
• Identification sur services tiers (Shibboleth ~ Refid)Services documentaires en ligne
• Identification Eduroam / Portail Captif ~ RéfidAccès Internet Wifi
Objectifs
• Créer un méta-annuaire des usagers par profils conforme LDAP
Contraintes
• Ne pas créer une « ne identité » (login / mot de passe)
• Conserver le lien avec l’établissement d’affiliation
• Rendre la collecte des données transparente pour l’usager (RGPD)
• S’appuyer sur des standards ouverts d’interopérabilité(LDAP, Supann 2009)
Opportunité
• S’appuyer sur les services des fédérations Renater / Campus
• S’appuyer sur le provisionning d’attributs SAML V2
Le référentiel d’identités Campus
Scénarios de la preuve de concept (POC : 1 an)
Établissements participants• EPHE (AD) – A. Dorignac, Ph. de Jesus
• INED (LDAP) – M. Lamouche
• Paris 1 (LDAP) – B. Branciard & A. Anli
• EPCC (LDAP hébérgé par Renater) & A. Chabli
Scénario 1 : approvisionnement automatique• Synchronisation LDAP - cf. COMUE
• Inadapté au besoin (populations partielles)
• Très problématique : nomenclatures, Sécurité & RGPD
• Abandonné après 3 réunions !
Scénario 2 : Processus d’approvisionnement semi automatique• Fédération d’identités (Renater / Campus Condorcet)
• Collecte d’attributs à la volée (SAML V2 via IDP)
• Enrichissement des données par formulaire libre
• Workflow de validation (référents / structures)
• Travail sur 7 mois pour développer le POC
Vers une gestion « déléguée » de l’identité
Résidents
Lecteurs
Invités
Opérateurs
Fournisseur
Identité Campus
Services en ligne
Ressources
documentaires
Annuaire
LDAP
Campus
Accès bibliothèque
Accès bâtiments
Référent « Unité »
(DU / SAF)Référent
« Etablissement »
(DRH)
Mécanismes mis en œuvre
Établissement
1. Désignation
d’un référent
2. Invitation des
résidents
Invitation
3. Inscription des
futurs résidents
Fournisseur Identité Etablissement
Annuaire LDAP Etablissement
inscription
4. Validation des
inscriptions
AnnuaireCampus
5. Création d’un
compte Campus
Fournisseur Identité Campus
7. Authentification avec
le compte d’origine
6. Accès à
un Service
Campus
authentification
Architecture de gestion d’identités
Processus d‘invitations
+
Formulaires d’inscription
+
Mise en compatibilité Fédération
Renater
+
Authentification & SSO SAML V2
Collecte d’attributs SAML
Gestion d’annuaires
API
Modèles
Gestion des invitations
Gestion des inscriptions
Gestion par des « référents unités »
Départ.
Groupe
Départ.
Groupe
Annuaire LDAP
Campus
Etab. Groupes
GroupeGroupe
Rôles
= EHESS= EHESS = UMR X= UMR X
= LECTEUR GED= LECTEUR GED
= DRIVE= DRIVE
= GLPI= GLPI
1. Demande
d’inscription
DEPUIS GLPI
1. Demande
d’inscription
DEPUIS GLPI
3.
Définition
du profil
3.
Définition
du profil
2. Invitation
ou Création de
compte
2. Invitation
ou Création de
compte
Départ.
Groupe
Départ.
Groupe
Annuaire LDAP
Campus
Etab. Groupes
GroupeGroupe
Rôles
= EHESS = UMR X
= LECTEUR GED
= DRIVE
= GLPI
1. Demande
d’inscription
DEPUIS GLPI
3.
Définition
du profil
2. Invitation
ou Création de
compte
Données collectées à l’inscriptionLibellé du Formulaire Attribut
Etablissement Choix > supannEtablissement
Identifiant d’origine * Importé - eppn - non modifiable
Identifiant Campus Généré & opaque
Prénom * Importé - givenName – modifiable
Nom * Importé - surName – modifiable
Identité * Importé – displayName - modifiable
Profil principal * Importé - eduPersonAffiliation – modifiable
Unité d'affectation * Choix > supannEntiteAffectationPrincipale
Courriel * Importé - mail - modifiable
Téléphone professionnel Saisie
Courriel personnel Saisie
Téléphone personnel Saisie
Adresse postale personnelle Saisie
Date de naissance Saisie - dateOfBirth
Masquer dans l'annuaire * Importé - supannListeRouge - modifiable
Niveau de diplôme * Importé si disponible
Schéma de l’annuaire LDAPd
c=ca
mp
us,
dc=
cam
pu
s-co
nd
orc
et.
fr,d
c=.f
r
o=Campus
ou=people cn=Prénom Nom
ou=structures
ou=Etab A ou=people
ou=Etab B ou=people
ou=groups
dc=Unité 1
dc=Unité 2
Modèle « classique »
Groupes dynamiques Unités de recherche (SupannEntiteAffectation)
Enjeux :
• S’appuyer au maximum sur des attributs normalisés et bien définis• Permettre une gestion séparée des comptes par établissement
Structures « Établissements »> Droits d’accès par l’établissement
Calendrier des inscriptions
Avril 2018
• Lancement du groupe de travail des « référents » (1/2 journée d’échanges)
Juillet 2018
• Précisions sur les processus d'invitation et d'inscriptions
• Ateliers de spécifications
• Présentation aux DSI
Sept. 2018
• Finalisation des développements
• Présentation de la plateforme d’inscription (fin sept.)
Oct. 2018
• Formations des référents début oct.)
• Recette
Nov. 2018
• Lancement de la campagne d’inscription (Invitations / Validations)
• Campagnessuccessives
Janv. 2019
• Clôture de la première campagne d’inscription avec vérification de la complétude
Support Communication Campus
Support technique Campus
Gestion « courante » des comptesLibellé du Formulaire Attribut / processus
Responsable du compte Attribut – manager
Date de validité Attributs – fdContractStartDate & fdContractEndDate
Liaison badge Attribut – fdBadge
Gestion de l’authentification Règles :
• Si inscription depuis un IDP tiers
> authentification générale sur celui-ci
> On crée un compte local par secours
• Si inscription libre > authentification compte Campus
Contrôle de validité Reste à préciser :
• Péremption : fdContractEndDate
• Inactivité : Date de dernière authentification sur LL::NG
• Date de dernier accès par badge (récupéré dans le système de
badgeuse)
Opportunités
• S’ouvrir à toute la fédération Renater (+ Edugain)
• Exploiter entièrement le protocole SAML V2
• Déléguer l’authentification
• Simplifier et renforcer les usages de l’identité fédérée
Exigences
• Forte disponibilité des IDP
• Consentement au niveau des IDP
• Gouvernance collégiale des identités
Risques
• Mécanismes SSO complexes / utilisateur
• Turn over organisationnel / référents
En guise de bilan : opportunités, exigences et risques