Comité Réseau des Universités

Présentation de
Shibboleth

Journée d’information sur la

fédération du CRU,
25 Janvier 2007

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 1

Comité Réseau des Universités

Intérêt

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 2

Comité Réseau des Universités
Beaucoup de ressources web,
autant de mots de passe
Intranet
Webmail

Cours en ligne

Applications métiers

Ressources
documentaires
Listes de diffusion

Extranet

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 3

Comité Réseau des Universités
La démarche ENT a amélioré les
choses…
Intranet
Webmail

Cours en ligne

SSO Applications métiers

Ressources
documentaires
Listes de diffusion

ENT

Extranet

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 4

Comité Réseau des Universités
Comment authentifier des utilisateurs
quand on ne les gère pas ?
• Le compte invité
– Un seul mot de passe pour
Cours en ligne
tout le monde
• L’identification du poste
– L’enfer des plages d’adresse
Ressources IP
documentaires
• L’enregistrement local
– Un effort démesuré
• Le méta-annuaire
Extranet – Un seul ne suffira pas

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 5

Comité Réseau des Universités
La fédération d’identités doit permettre
de rendre ces accès simples et sûrs

Webmail Intranet

Cours en ligne

SSO Applications métiers

Ressources
documentaires
Listes de diffusion

ENT

Extranet

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 6

Comité Réseau des Universités

Des cas d’utilisation

• Contrôle d’accès en fonction du profil de

l’utilisateur
– Exemple : étudiant en pharmacie
• Intranet pour un groupe de travail
– Chercheur, étudiants, association, informaticiens
• Accès aux périodiques électroniques depuis
un ENT
– Science Direct, JSTOR, …

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 7

Comité Réseau des Universités

Fonctionnement

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 8

Comité Réseau des Universités

Le SSO de l'établissement est

prolongé vers l'extérieur
Établissement
de rattachement
1. Tentative d’accès à la 3 de l’étudiant
ressource SSO
2. Redirection vers le SSO
de l’établissement de 2
rattachement
4
3. Authentification sur le
SSO
4. Redirection vers la 1
ressource avec une
preuve Cours en ligne dans
d’authentification un autre établissement

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 9

Comité Réseau des Universités

Des attributs d’un utilisateur peuvent

être propagés vers les ressources
Référentiels

Établissement
de rattachement
3 de l’étudiant 6
5. Demande d’attribut sur
l’utilisateur
2
6. Extraction des attributs
4 5 7
7. Propagation vers la
ressource

1
Cours en ligne dans
un autre établissement

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 10

Comité Réseau des Universités

Les nouvelles briques

pour la fédération d’identités
Référentiels

Établissement
de rattachement
de l’étudiant
1. Le fournisseur d’identités SSO

2. Le fournisseur de services 1 IdP

3. Le service de découverte
4. Échanges au format SAML
2 SP 3 WAYF

Cours en ligne dans

un autre établissement

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 11

Comité Réseau des Universités
Le Service de découverte
ou Where Are You From (WAYF)

• La partie visible de l’iceberg

– La seul brique de Shibboleth avec laquelle
l’usager interagit directement
• Objectif
– Orienter l’utilisateur vers son fournisseur
d’identités
• Localisation
– Au plus près du fournisseur de services

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 12

Comité Réseau des Universités

Fonctionement du WAYF

SP

WAYF

IdP 1 IdP 3

IdP 2

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 13

Comité Réseau des Universités

L’établissement choisit les attributs

qu’il propage, selon la ressource

Établissement
de rattachement
Nom
Prénom Statut
Email (étudiant,
Personnel)
Etape
Discipline

Périodiques électroniques
Intranet d’un groupe
(prestataire privé)
de travail
Cours en ligne dans
un autre établissement

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 14

Comité Réseau des Universités

Apports de la fédération d’identités

• Pour l’utilisateur
– Il n’utilise que le mot de passe de son SSO
– Adapté aux utilisateurs nomades
• Pour l’établissement de rattachement
– Niveau de sécurité constant (SSO)
– Meilleure maîtrise des données personnelles
• Pour les gestionnaires de ressources
– Plus besoin de gérer des comptes utilisateurs
– Accès à des données utilisateurs fiables

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 15

Comité Réseau des Universités

Shibboleth

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 16

Comité Réseau des Universités

• Logiciel « open source »

• Issu du monde universitaire
– USA, Internet 2
• Basé sur la norme SAML
• Utilisé dans d’autres pays
– en production en Suisse, USA, Angleterre, Finlande,
Australie, Suède
– en cours de déploiement en Belgique, Allemagne,
Danemark, Slovénie, République Tchèque

http://shibboleth.internet2.edu

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 17

Comité Réseau des Universités

Shibboleth est une solution peu

intrusive
• Conçu pour s’intégrer dans des SI très variés
– pas de pré requis sur le système
d’authentification
– exploitation de sources de données variées

• Forme une colle entre des SI et des

ressources très hétérogènes

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 18

Comité Réseau des Universités

Des briques techniques

multi plateformes
• Fournisseur d’identités :
– servlet Java

• Fournisseurs de services :
– module Apache ou IIS
– Des RPMs disponibles

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 19

Comité Réseau des Universités

Intégration au SI

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 20

Comité Réseau des Universités
Le fournisseur d’identités
Intégration avec le SSO

• Choix du SSO : CAS ou autre système

• Localisation : même serveur ou pas
• Fonctionnement : partage la session avec le
SSO
• Charge de travail
– Installation 1 seule fois
– Temps installation < semaine (en moyenne)
– Configuration pour chaque SP (attributs)

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 21

Comité Réseau des Universités
Le fournisseur d’identités
Branchement avec les référentiels
• Connecteurs disponibles
– JNDI (annuaire LDAP)
– JDBC (bases SQL métiers)
– Sources extensibles
• SupAnn = langage commun de la fédération
du CRU
• Possibilités de « mapping »
– Des noms d’attributs
– De la valeur des attributs

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 22

Comité Réseau des Universités
Le fournisseur de services
Intégration

• Différents niveaux d’intégration

1. Authentification uniquement (identifiant)
2. Utilisation des attributs utilisateur (roles
applicatifs)
3. Le WAYF peut être assuré par l’application
• Travail comparable à une « CASification »
• De nombreuses applications déjà
compatibles

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 23

Comité Réseau des Universités

Les applications déjà « shibbolisées »

http://shibboleth.internet2.edu/seas.html

• ArtSTOR • Blackboard • eAcademia

• CSA • Moodle • MyProxy
• Digitalbrain PLC • OLAT • Napster
• EBSCO publish. • Webassign • Microsoft
• ExLibris SFX • WebCT SharePoint
• ILIAS • Confluence Wiki • Sympa
• JSTOR • Media Wiki • Symplicity
• NSDL • Twiki • uPortal
• OCLC • Fedora • Zope Plone
• Ovid Tech. • Horde • …
• Thomson Gale
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 24
Comité Réseau des Universités

Pour commencer, concrètement…

• Documentations en Français sur le site du

CRU (http://federation.cru.fr)
• Une fédération de test

• Support
– Liste : federation-utilisateurs@cru.fr
– Contact : federation-admin@cru.fr
– Actualité : http://www.cru.fr/echo

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 25

Comité Réseau des Universités
Formation
« mise en place de Shibboleth »
• Formation CiRen, organisée par Renater
• 6 et 7 mars 2007, Montpellier
• Public visé :
– Enseignement supérieur
– Personnes chargées de la mise en place d’un
fournisseur d’identités Shibboleth
• Nombre de places : 20 ou 40 places

http://www.renater.fr/spip/spip.php?article535
Présentation de Shibboleth - journée fédération, 25 Janvier 2007 26
Comité Réseau des Universités

en bref…
• Shibboleth, technologie pivot
• Dans la continuité des ENT
• Ouvre des perspectives de collaboration
• Intérêt croissant des Universités
• Pas seulement en France
• Pas seulement pour la documentation
électronique

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 27