View
107
Download
2
Category
Preview:
Citation preview
1
Couperin et shibbolethCouperin et shibbolethAndré DAZY – Couperin - Département « Etudes et Prospective »
Andre.dazy@couperin.org
Journée FédérationParis, le 24 janvier 2011
2
1- Pourquoi la fédération d’identité intéresse-t-elle Couperin ?2- Etat des lieux3- Ce que fait couperin pour la promotion de shibboleth4- Perspectives (RAPTOR, eduGAIN, ERMS, licences
nationales)5- Problèmes soulevés par shibboleth
PlanPlan
3
1- Pourquoi la fédération 1- Pourquoi la fédération d'identités intéresse-t-elle d'identités intéresse-t-elle
Couperin ?Couperin ?• Accès nomade, authentifié et sécurisé
• Respect des licences
• Personnalisation : possibilités inhérentes à la propagation d’attributs : profilage de services, segmentation de l’offre, donc négociations plus resserrées
• Fédération RENATER va permettre de couvrir l’ensemble du périmètre des membres de Couperin (EPST)
4
2- Etat des lieux2- Etat des lieux
• Liste des éditeurs ayant implémenté la technologie Shibboleth (Source JISC)
http://www.ukfederation.org.uk/content/Documents/AvailableServices• Liste des ressources accessibles dans la fédération
Éducation-Recherche :https://federation.renater.fr/participants/ressources
5
Liste des éditeurs (mise Liste des éditeurs (mise à jour par RENATER)à jour par RENATER)
6
Couperin et la Couperin et la fédérationfédération
• Enquête auprès de ses membres sur l’accès distant auprès des membres du consortium Couperin en octobre 2007
• 50 % des membres ont un mode d’accès distant• Une cohabitation de différentes techniques
implémentées successivement ( VPN + reverse proxy + Shibboleth )
• 20 % des répondants utilisent une fédération d’identités
7
EnquêteEnquête
• Deux ressources en ligne :le portail Sudoc de l'ABES et le portail ScienceDirect d'Elsevier : fournisseur de service
• 12 établissements d'enseignement via la fédération du CRU (technologie Shibboleth) : fournisseur d’identité
• de mars à décembre 2006
8
Bilan fournisseur de Bilan fournisseur de serviceservice
• Frein : l’installation de la brique logicielle nécessite un
investissement important
• Gains : reconnaître un usager d’une connexion à l’autre profiler des services grâce à la propagation des attributs déléguer l’authentification aux fournisseurs d’identités niveau de sécurité constant
9
Bilan pour les Bilan pour les établissementsétablissements
• Gains : Méthode standardisée pour l’accès aux ressources extérieures
(progrès par rapport à un reverse proxy) Utilisable pour l’accès à tout type de ressources : éditoriales,
pédagogiques, métiers… Intégration complète à l’ENT
• Freins : Pas de statistiques, contrairement au reverse proxy Peu répandu chez les éditeurs pour l’instant Situation mixte (fédération d'identités/reverse proxy) qui va
perdurer
10
3- Promotion de 3- Promotion de shibbolethshibboleth
• RENATER prend contact avec les éditeurs que Couperin lui indique. Couperin valide pour l'inscription administrative
• Incitation pour petits éditeurs : solution : une aide financière et un agrégateur qui se substiturait à eux type hyghWire Press
11
Promotion de shibbolethPromotion de shibbolethCRU/RENATER et CRU/RENATER et
Couperin/NégociateursCouperin/Négociateurs• Expliquer la technologie• Choisir les attributs utilisateurs adaptés• Tester avec un établissement• Mention des attributs dans les contrats (et la licence type)
Travail sur les licences avec les fournisseurs de service et sur le nommage dans les référentiels d’établissement Rapprochement avec la norme ONIX-PL
• Information auprès des adhérents et négociateurs Couperin• Dans les négociations : parler de shibboleth, demander
installation
12
Modèle de mail vers les Modèle de mail vers les éditeurséditeurs
13
Le wiki de la liste Le wiki de la liste accesdistantaccesdistant
14
4- Perspectives4- Perspectives
• RAPTOR http://iam.cf.ac.uk/trac/RAPTOR/wiki/ProjectReports
Mise au point d’un logiciel en Opensource pour les universités anglaises
Ce logiciel a pour but de proposer des statistiques sur les usages d’un établissement (via shibboleth (ou un EZproxy) et notamment aux non-techniciens
Version alpha est sur le point d’être mise en place“disponible” en mars 2011
15
PerspectivesPerspectives
• eduGAINProjet européen d’interconnexion des fédérations
européennes. RENATER n’est pas pour l’instant dans eduGAIN
16
PerspectivesPerspectives
• ERMSCouperin teste un pilote mis en place par Serials
solutions (Proquest) dans 5 établissementsLyon2, Bordeaux1, PRES de Toulouse, INRIA, Paris
DescartesJusqu’en juin 2012Ensuite une base de connaissances commune :
simplification des accès si shibboleth
17
PerspectivesPerspectives
• Licences nationalesshibboleth serait le meilleur moyen pour une connexion
simple
18
5- Problèmes soulevés 5- Problèmes soulevés par shibbolethpar shibboleth
• Est-ce que shibboleth permet une meilleure vision des usages ? (RAPTOR)
Avec Shibboleth, tous les accès se faisant directement vers la ressource, une analyse des logs d’un serveur est impossible.
• Quel respect de la vie privée ?
• Comment gérer la superposition des périmètres, la multi-appartenance (problèmes institutionnels ) ?
• Révélation parfois de conflits d’accès (conflit en terme de licence)
19
TransitionTransition
Le reverse proxy et autres outils de ce type (VPN, etc.) continueront à être nécessaires tant que le dernier fournisseur « utile » ne se sera pas converti à shibboleth
Comment gérer une situation mixte (shibboleth / reverse proxy) ?
20
Merci de votre attentionDes questions ?Des questions ?
couperinhttp://www.couperin.org
Andre.dazy@couperin.org
Recommended