mise en oeuvre de la gestion des groupes via grouper...

1

● Situer le consortium ESUP-Portail / Internet2 / Grouper

● La problématique de la gestion des groupes

● Appréhender Grouper

● Travailler à un niveau consortium

● Utiliser une solution libre et open sources des standards ouverts

● Partenariat Développeurs-Intégrateurs

● Les plus ESUP-Portail

● Intégrer Grouper dans le SI d'une université

● Retours d'expérience

● L'avenir

Mise en oeuvre de la gestion des groupes via Grouper dans une université au sein du consortium ESUP-Portail en France

2

● Créé courant 2005 à l'initiative de quelques universités et établissements

● Pour accompagner le projet national d'Espace Numérique de Travail ou ENT

● Sur la base d'un développement communautaire réalisé en open sources

● Pour offrir aux étudiants et personnels d'un établissement d'Enseignement Supérieur un accès facilité aux services et ressources numériques


Situer le consortium ESUP-PortailSituer le consortium ESUP-Portail

3

● Une communauté qui s'étoffe d'années en années : 80% des établissements en France fin 2011

● Une meilleure structuration par la création de l'association « Consortium ESUP-Portail » en 2008

● Financé par le Ministère de l'Enseignement Supérieur et de la Recherche, les collectivités territoriales et les établissements adhérents

● 80% des étudiants et personnels en France utilisent sa plate-forme d'accès aux services et informations.



4

● Faciliter l'apprentissage et la vie quotidienne des étudiants

● Faciliter le travail des personnels● Mutualiser le développement des services entre

universités pour un partage des coûts● Partager les évolutions technologiques et les

nouveaux services● Concevoir et planifier les avancées futures des

Espaces Numériques de Travail



5

● Un ESUP-Days 2 fois par an pour rassembler les partenaires, échanger et prendre connaissance des évolutions en cours

● Des solutions choisies dans l'open-source pour faire évoluer et adapter chaque solution

● ESUP-portail développe également ses solutions

● ESUP-Portail est partenaire du consortium américain JA-SIG qui soutient uPortal/CAS reconnue comme la meilleure solution de portails pour l'enseignement supérieur



6

● Un consortium à but non lucratif

● Regroupant plus de 350 membres dont plus de 200 universités américaines

● Et des partenaires industriels et gouvernementaux

● 66000 institutions représentant plus de 50 pays

● Pour développer les technologies pour atteindre le très haut débit

● Mais aussi pour développer des applications pour l'apprentissage et la recherche


Situer Internet2Situer Internet2

7

● Divers services et applications développées :● Grouper – Gestion des groupes et des rôles● Cloud services● Services de vidéo-conférence et de téléprésence● Les services InCommon pour fournir un espace

de confiance sécurisé et préservant la vie privée tels que Shibboleth – outil pour la fédération d'identité SAML


Situer Internet2Situer Internet2

8


Situer GrouperSituer Grouper

● Réalisé dans le cadre d'Internet2 Middleware Initiative, au sein du groupe MACE : Middleware Architecture Committee for Education, dont l'objectif est de favoriser l'interopérabilité pour ce qui tourne autour de la sécurité et des annuaires dans la communauté éducative et de recherche.

● Une vingtaine de membres actifs dans ce groupe MACE

● Son développement est aidé financièrement par l'université de Chicago et l'université de Bristol et le soutien de l'agence fédérale américaine NSF et le fond anglais JISC

9


Situer GrouperSituer Grouper

● Projet Grouper initié en juin 2001

● 24 institutions identifiées utilisent Grouper en production : des universités américaines, françaises, anglaises, allemandes, sud-africaines.

● 125 institutions ont téléchargé le logiciel Grouper depuis mars 2010

● Beaucoup de pays concernés : Canada, République Tchèque, Italie, Japon, Pays-bas, Pologne, Suède

10


La problématique de la gestion des GroupesLa problématique de la gestion des Groupes

● Les services web offerts à nos étudiants et nos personnels se multiplient

● Les outils développés sont très diversifiés : relevé de notes, affichage carrière personnel, budget de la composante, gestion des congés, emplois du temps, etc

● Notre portail/ENT offre tous ces services mais il doit les cibler vers la sous-population concernée

● Il faut pouvoir déléguer l'administration de ces sous-populations

11



● La gestion électronique de documents amène à partager ces ressources entre groupes de travail

● Ces groupes de travail sont à géométrie variable et évolutifs dans le temps

● Là encore, il faut pouvoir déléguer la gestion de ces groupes et notamment leur peuplement/dépeuplement

12



● La hiérarchie des groupes augmente et se complexifie au fur et à mesure que les services numériques augmentent

● Comment les ranger ?● Qui a le droit d'administrer quelle branche ?● Qui va maintenir et vérifier la cohérence des

délégations de droit ?

13


Appréhender GrouperAppréhender Grouper● Modularité : Grouper-API, Grouper-UI et lite-UI, web

services, subjectAPl, etc

● Outils : grouper-shell, grouper-loader, grouper-client, ldappcng devenu PSP pour Provisioning Service Provider

● Toute l'API disponible en groupershell

● Réactivité des développeurs : le week-end, scripts de tests

● Beaucoup de notions à appréhender : stem, folder, group, include/exclude Group, requireGroup, privilege, subject, hook, composite, ...

14


Appréhender GrouperAppréhender Grouper

15


Intérêt de travailler à un niveau consortiumIntérêt de travailler à un niveau consortium

● Partage des expériences dans un contexte similaire :

● Même service d'authentification : CAS● Même fédération d'identité : RENATER et shibboleth● Même norme d'annuaire ldap : norme supann

● Entraide technique et fonctionnelle● Confirmer/infirmer certaines orientations● Retour d'expériences permet d'aider les futurs

candidats

16


Intérêt de travailler à un niveau consortiumIntérêt de travailler à un niveau consortium

● Dégager des forces pour avancer sur certains aspects

● Cohérence entre universités : plus facilement transposable

● Mutualisation des développements : ● ESCO-Grouper pour une interface graphique

spécifique française● Groupstore pour uPortal

17


Intérêt d'utiliser des solutions libres et open sourcesIntérêt d'utiliser des solutions libres et open sources

● Pouvoir adapter l'outil aux spécificités de l'université

● Apporter sa propre contribution au projet Grouper : exemple ESCO-Grouper

● Etendre les fonctionnalités : cas d'ESCO-Grouper-UI qui a permis la délégation pour la création des groupes

18


Un bon exemple du partenariat développeur ↔ intégrateurUn bon exemple du partenariat développeur ↔ intégrateur

● Des aller-retour rapides et efficaces

● Côté développeur :

● Permet de faire évoluer son produit● Être à l'écoute des attentes et des usages

● Côté intégrateur :● Mise en place facilitée● Bugs bien pris en compte

19


Les + développés par les partenaires ESUPLes + développés par les partenaires ESUP

● ESCO-Grouper : interface développée par le Groupement RECIA pour les collèges et lycée de la région centre

● GroupStore RECIA pour intégration dans esup-portail : apports de fonctionnalités par rapport à celui fourni par uPortal

● Un wiki Grouper sur le site d'esup-Portail :

● un outil pour démarrer● une mine d'informations en français !

20


Intégrer Grouper dans le SI d'une universitéIntégrer Grouper dans le SI d'une université

● Un certain nombre d'applications utilise la notion de groupes

● Cependant, elles sont morcelées, redondantes entre elles, voire incohérentes !

● Le projet Grouper dans une université nécessite de tout remettre à plat et établir un référentiel

● Grouper devra communiquer avec les autres applications, souvent via l'annuaire ldap-supann dans nos contextes

21


Intégrer Grouper dans le SI d'une universitéIntégrer Grouper dans le SI d'une université

● Un projet à part entière car

● Nécessite d'interagir avec nombre de personnes● Projet technique● Pas trivial à mettre en place● Nouveau● Transversal● Brique de base du SI

22


Expérience à l'université Lille1Expérience à l'université Lille1

● Contexte : non global – uniquement pour esup-Portail et sites web sécurisés

● En remplacement d'un outil existant vieillissant

● En prévision de l'arrivée d'une GED (nuxeo)

● Un temps de découverte/paramétrage de 5 mois : avril/mai 2011, interruption 1 mois pour concurrence avec un usage ldap, juillet/septembre/octobre 2011

● Une réussite : mise en production le 4 novembre 2011, une satisfaction générale

23


Expérience à l'université Lille1Expérience à l'université Lille1

● Techniquement, utilisation du typage des groupes : 10 types déclarés

● Pour s'affranchir de la structuration existante dans esup-portail

● Génération du fichier des groupes pour esup-Portail

● Délégation du peuplement/dépeuplement mais pas de la création des groupes

● Quelques écrans...

26

INFOGLUE

LDAP

ESUP-PORTAIL

GROUPER

ou=groups

ou=people

PAGSRole * ustlRole

GroupLDAP * cnLDAP * ownerLDAP * PubLDAPGroup

GroupOfURLs * memberURL

AEC * ustlPresident

supannGroupe * ~AdminDN * ~DateFin * ~LecteurDN

PeopleLDAP * PubLDAPPeople

(« AEC » ou « GOF »)

PAGS * selectionTest

Testeurs * attribute-name * tester-class * tester-value

Infoglue * infoglue-cms * infoglue-commentaire * infoglue-groupKey * infoglue-groupName * infoglue-selectionTest

Portailesup * esup-groupKey * esup-groupName

(« ustlRole »)

(« SIFAC-cumul-users »)

Notas : Aucune dépendance entre les types – tous les attributs sont facultatifs (problèmes quand obligatoires ) - être vigilant lors de la déclaration des types et de leurs attributs car pas de contrôle - « ... »: exemple de valeurs de l'attribut / « ...» : seules valeurs prises en compte actuellement par les scripts de publication dans le ldap. Ronds et rectangle en tiret : types non encore en exploitation, certains utilisés en ldap de test.

Groupes du portail non strictement ustlRole (exemple : tous les personnels)

Groupes à publier dans le ldap dans la branche ou=groups

Groupes du portail strictement ustlRole (exemple : groupe SIFAC-cumul-users)

Groupes infoglue non strictement ustlRole (exemple : groupe Etudiant)

Groupes uniquement porteur d'un ustlRole (exemple : groupe listCorrSSI-users)

Groupes infoglue strictement ustlRole (exemple : groupe IEEA - Elus)

NUXEO

Portlet AEC

27

DANS LA GED NUXEO pour donner les droits sur des espaces de documents

29


Expérience d'autres partenaires ESUPExpérience d'autres partenaires ESUP

● Aix-Marseille Université

● Dans le cadre d'une fusion des universités● Nouveau SI● Très rapidement, tout s'est appuyé sur Grouper● Mise en place de l'ENT● Listes de diffusion● Espaces partagés● Applications web● forge/git

30



● Bordeaux 1 :

● Après la mise en place de la GED● 1 an de GED sans Grouper : difficile...● Groupes statiques insérés dans le ldap● Population des groupes institutionnels réalisés par

script● Délégation de la création des groupes et de leur

peuplement par l'interface complète Admin-UI

31



● GIP RECIA :

● Grouper en production depuis 2009● Pour les 62 collèges, 93 lycées, 10 lycées agricoles,

16 CFA● Très nombreux groupes : 35 000● 350 000 utilisateurs répartis dans ces groupes● Le groupe le + important comporte 5000 membres● A développé une nouvelle interface françisée :

ESCO-grouper-ui

32


L'avenir Grouper/uPortal/JasigL'avenir Grouper/uPortal/Jasig

● Groupe de travail esup-Portail en lien avec uPortal/jasig pour mettre en oeuvre Grouper dans uPortal

● Groupstore qui se branche sur l'annuaire ldap

● Améliore les performances● Permet redondance● Découpler les mises à jour uPortal / Grouper

● Mieux présenter à l'usager les groupes utilisés dans la publication des informations et la gestion des accès aux applications web

mise en oeuvre de la gestion des groupes via grouper...

Documents