1

Couperin et shibbolethCouperin et shibbolethAndré DAZY – Couperin - Département « Etudes et Prospective »

Andre.dazy@couperin.org

Journée FédérationParis, le 24 janvier 2011

2

1- Pourquoi la fédération d’identité intéresse-t-elle Couperin ?2- Etat des lieux3- Ce que fait couperin pour la promotion de shibboleth4- Perspectives (RAPTOR, eduGAIN, ERMS, licences

nationales)5- Problèmes soulevés par shibboleth

PlanPlan

3

1- Pourquoi la fédération 1- Pourquoi la fédération d'identités intéresse-t-elle d'identités intéresse-t-elle

Couperin ?Couperin ?• Accès nomade, authentifié et sécurisé

• Respect des licences

• Personnalisation : possibilités inhérentes à la propagation d’attributs : profilage de services, segmentation de l’offre, donc négociations plus resserrées

• Fédération RENATER va permettre de couvrir l’ensemble du périmètre des membres de Couperin (EPST)

4

2- Etat des lieux2- Etat des lieux

• Liste des éditeurs ayant implémenté la technologie Shibboleth (Source JISC)

http://www.ukfederation.org.uk/content/Documents/AvailableServices• Liste des ressources accessibles dans la fédération

Éducation-Recherche :https://federation.renater.fr/participants/ressources

5

Liste des éditeurs (mise Liste des éditeurs (mise à jour par RENATER)à jour par RENATER)

6

Couperin et la Couperin et la fédérationfédération

• Enquête auprès de ses membres sur l’accès distant auprès des membres du consortium Couperin en octobre 2007

• 50 % des membres ont un mode d’accès distant• Une cohabitation de différentes techniques

implémentées successivement ( VPN + reverse proxy + Shibboleth )

• 20 % des répondants utilisent une fédération d’identités

7

EnquêteEnquête

• Deux ressources en ligne :le portail Sudoc de l'ABES et le portail ScienceDirect d'Elsevier : fournisseur de service

• 12 établissements d'enseignement via la fédération du CRU (technologie Shibboleth) : fournisseur d’identité

• de mars à décembre 2006

8

Bilan fournisseur de Bilan fournisseur de serviceservice

• Frein : l’installation de la brique logicielle nécessite un

investissement important

• Gains : reconnaître un usager d’une connexion à l’autre profiler des services grâce à la propagation des attributs déléguer l’authentification aux fournisseurs d’identités niveau de sécurité constant

9

Bilan pour les Bilan pour les établissementsétablissements

• Gains : Méthode standardisée pour l’accès aux ressources extérieures

(progrès par rapport à un reverse proxy) Utilisable pour l’accès à tout type de ressources : éditoriales,

pédagogiques, métiers… Intégration complète à l’ENT

• Freins : Pas de statistiques, contrairement au reverse proxy Peu répandu chez les éditeurs pour l’instant Situation mixte (fédération d'identités/reverse proxy) qui va

perdurer

10

3- Promotion de 3- Promotion de shibbolethshibboleth

• RENATER prend contact avec les éditeurs que Couperin lui indique. Couperin valide pour l'inscription administrative

• Incitation pour petits éditeurs : solution : une aide financière et un agrégateur qui se substiturait à eux type hyghWire Press

11

Promotion de shibbolethPromotion de shibbolethCRU/RENATER et CRU/RENATER et

Couperin/NégociateursCouperin/Négociateurs• Expliquer la technologie• Choisir les attributs utilisateurs adaptés• Tester avec un établissement• Mention des attributs dans les contrats (et la licence type)

Travail sur les licences avec les fournisseurs de service et sur le nommage dans les référentiels d’établissement Rapprochement avec la norme ONIX-PL

• Information auprès des adhérents et négociateurs Couperin• Dans les négociations : parler de shibboleth, demander

installation

12

Modèle de mail vers les Modèle de mail vers les éditeurséditeurs

13

Le wiki de la liste Le wiki de la liste accesdistantaccesdistant

14

4- Perspectives4- Perspectives

• RAPTOR http://iam.cf.ac.uk/trac/RAPTOR/wiki/ProjectReports

Mise au point d’un logiciel en Opensource pour les universités anglaises

Ce logiciel a pour but de proposer des statistiques sur les usages d’un établissement (via shibboleth (ou un EZproxy) et notamment aux non-techniciens

Version alpha est sur le point d’être mise en place“disponible” en mars 2011

15

PerspectivesPerspectives

• eduGAINProjet européen d’interconnexion des fédérations

européennes. RENATER n’est pas pour l’instant dans eduGAIN

16

PerspectivesPerspectives

• ERMSCouperin teste un pilote mis en place par Serials

solutions (Proquest) dans 5 établissementsLyon2, Bordeaux1, PRES de Toulouse, INRIA, Paris

DescartesJusqu’en juin 2012Ensuite une base de connaissances commune :

simplification des accès si shibboleth

17

PerspectivesPerspectives

• Licences nationalesshibboleth serait le meilleur moyen pour une connexion

simple

18

5- Problèmes soulevés 5- Problèmes soulevés par shibbolethpar shibboleth

• Est-ce que shibboleth permet une meilleure vision des usages ? (RAPTOR)

Avec Shibboleth, tous les accès se faisant directement vers la ressource, une analyse des logs d’un serveur est impossible.

• Quel respect de la vie privée ?

• Comment gérer la superposition des périmètres, la multi-appartenance (problèmes institutionnels ) ?

• Révélation parfois de conflits d’accès (conflit en terme de licence)

19

TransitionTransition

Le reverse proxy et autres outils de ce type (VPN, etc.) continueront à être nécessaires tant que le dernier fournisseur « utile » ne se sera pas converti à shibboleth

Comment gérer une situation mixte (shibboleth / reverse proxy) ?

20

Merci de votre attentionDes questions ?Des questions ?

couperinhttp://www.couperin.org

Andre.dazy@couperin.org