Référentiel d’identités du Campus Condorcet

Journée Fédération Renater – 26 /09/ 2o18

Gautier Auburtin – Responsable SI & DPO

Présentation du Campus Condorcet

• Un projet innovant (2008-2019-*) • Campus de « recherche » en SHS• Ouverture en Sept. 2019 (Aubervilliers)

• 11 établissements fondateurs• CNRS, EHESS, ENC, EPHE, FMSH, INED,

Paris 1, Paris 3, Paris 8, Paris 10, Paris 13

• 2 Sites au nord de Paris• Aubervilliers (recherche SHS - 2019)• Paris la Chapelle (licences P 1 - 2022)

• Chercheurs & doctorants• 60 unités de recherche• 6 000 usagers (potentiel 15 000)

• Des équipements importants• Sièges INED, EPCC, EHESS (2020)• Bureaux mutualisés recherche• Grande bibliothèque de recherche (2020)• Centre de colloques• Hôtel à projets & espace associatif• Résidences étudiantes et de chercheurs

Perspective du Campus Condorcet (Nord-Sud)

Site de Porte de la ChapelleLicence Histoire Paris 1

Site d’AubervilliersStructures de recherche SHS

Grand équipement documentaire

Espace associatif

Centre de colloques

Logements étudiants

Bureaux chercheursRestauration

Siège de l’INEDLogements chercheurs

[projection 2013 / membres des unités de recherche ]

• 46 % Doctorants

• 13 % Docteurs

• 15 % Chercheurs

• 6% Profs. invités

• 12% ITA

• 6% Contractuels

Catégories d’usagers sur le Campus

« Profils » d’usagers sur le Campus

RESIDENTS• Membre d’un établissement• Poste de travail dédié• Accès aux espaces• Compte lecteur bibliothèque

RESIDENTS• Membre d’un établissement• Poste de travail dédié• Accès aux espaces• Compte lecteur bibliothèque

INVITE AVEC ACCES• Membre de l’unité• Chercheurs invité• Accès aux espaces

INVITE AVEC ACCES• Membre de l’unité• Chercheurs invité• Accès aux espaces

LECTEUR (BIBLIOTHEQUE)• Public universitaire ou général• Inscription annuelle

LECTEUR (BIBLIOTHEQUE)• Public universitaire ou général• Inscription annuelle

RIVERAIN• Public général• Accès espaces publics

RIVERAIN• Public général• Accès espaces publics

OPERATEUR• Entreprises accréditées• Accès aux espaces

OPERATEUR• Entreprises accréditées• Accès aux espaces

Principaux services nécessitant une identification

• Inscription dans le référentiel d’identités (RefId)Support à l’emménagement

• Enregistrement domaine (AD)Poste de travail

• Enregistrement réseau (MAC / IP | DHCP)Accès Internet filaire

• Identification sur Seafile ~ RéfId : authentification & profilStockage de fichiers en ligne

• Identification sur GLPI ~ RéfId : authentification & profilSupport Logistique

• Identification sur GLPI ~ RéfId : authentification & profilSupport Informatique

• Identification sur ADE ~ RéfId : authentification + profilRéservation d'espaces

• Contrôle d’accès (Badges)Accès aux bâtiments de recherche

• Carte multiservices CNOUS (cf. Badges)Restauration

• Inscription dans le référentiel d’identités (RefId)Accès à la bibliothèque

• Identification sur services tiers (Shibboleth ~ Refid)Services documentaires en ligne

• Identification Eduroam / Portail Captif ~ RéfidAccès Internet Wifi

Objectifs

• Créer un méta-annuaire des usagers par profils conforme LDAP

Contraintes

• Ne pas créer une « ne identité » (login / mot de passe)

• Conserver le lien avec l’établissement d’affiliation

• Rendre la collecte des données transparente pour l’usager (RGPD)

• S’appuyer sur des standards ouverts d’interopérabilité(LDAP, Supann 2009)

Opportunité

• S’appuyer sur les services des fédérations Renater / Campus

• S’appuyer sur le provisionning d’attributs SAML V2

Le référentiel d’identités Campus

Scénarios de la preuve de concept (POC : 1 an)

Établissements participants• EPHE (AD) – A. Dorignac, Ph. de Jesus

• INED (LDAP) – M. Lamouche

• Paris 1 (LDAP) – B. Branciard & A. Anli

• EPCC (LDAP hébérgé par Renater) & A. Chabli

Scénario 1 : approvisionnement automatique• Synchronisation LDAP - cf. COMUE

• Inadapté au besoin (populations partielles)

• Très problématique : nomenclatures, Sécurité & RGPD

• Abandonné après 3 réunions !

Scénario 2 : Processus d’approvisionnement semi automatique• Fédération d’identités (Renater / Campus Condorcet)

• Collecte d’attributs à la volée (SAML V2 via IDP)

• Enrichissement des données par formulaire libre

• Workflow de validation (référents / structures)

• Travail sur 7 mois pour développer le POC

Vers une gestion « déléguée » de l’identité

Résidents

Lecteurs

Invités

Opérateurs

Fournisseur

Identité Campus

Services en ligne

Ressources

documentaires

Annuaire

LDAP

Campus

Accès bibliothèque

Accès bâtiments

Référent « Unité »

(DU / SAF)Référent

« Etablissement »

(DRH)

Mécanismes mis en œuvre

Établissement

1. Désignation

d’un référent

2. Invitation des

résidents

Invitation

3. Inscription des

futurs résidents

Fournisseur Identité Etablissement

Annuaire LDAP Etablissement

inscription

4. Validation des

inscriptions

AnnuaireCampus

5. Création d’un

compte Campus

Fournisseur Identité Campus

7. Authentification avec

le compte d’origine

6. Accès à

un Service

Campus

authentification

Architecture de gestion d’identités

Processus d‘invitations

+

Formulaires d’inscription

+

Mise en compatibilité Fédération

Renater

+

Authentification & SSO SAML V2

Collecte d’attributs SAML

Gestion d’annuaires

API

Modèles

Gestion des invitations

Gestion des inscriptions

Gestion par des « référents unités »

Départ.

Groupe

Départ.

Groupe

Annuaire LDAP

Campus

Etab. Groupes

GroupeGroupe

Rôles

= EHESS= EHESS = UMR X= UMR X

= LECTEUR GED= LECTEUR GED

= DRIVE= DRIVE

= GLPI= GLPI

1. Demande

d’inscription

DEPUIS GLPI

1. Demande

d’inscription

DEPUIS GLPI

3.

Définition

du profil

3.

Définition

du profil

2. Invitation

ou Création de

compte

2. Invitation

ou Création de

compte

Départ.

Groupe

Départ.

Groupe

Annuaire LDAP

Campus

Etab. Groupes

GroupeGroupe

Rôles

= EHESS = UMR X

= LECTEUR GED

= DRIVE

= GLPI

1. Demande

d’inscription

DEPUIS GLPI

3.

Définition

du profil

2. Invitation

ou Création de

compte

Données collectées à l’inscriptionLibellé du Formulaire Attribut

Etablissement Choix > supannEtablissement

Identifiant d’origine * Importé - eppn - non modifiable

Identifiant Campus Généré & opaque

Prénom * Importé - givenName – modifiable

Nom * Importé - surName – modifiable

Identité * Importé – displayName - modifiable

Profil principal * Importé - eduPersonAffiliation – modifiable

Unité d'affectation * Choix > supannEntiteAffectationPrincipale

Courriel * Importé - mail - modifiable

Téléphone professionnel Saisie

Courriel personnel Saisie

Téléphone personnel Saisie

Adresse postale personnelle Saisie

Date de naissance Saisie - dateOfBirth

Masquer dans l'annuaire * Importé - supannListeRouge - modifiable

Niveau de diplôme * Importé si disponible

Schéma de l’annuaire LDAPd

c=ca

mp

us,

dc=

cam

pu

s-co

nd

orc

et.

fr,d

c=.f

r

o=Campus

ou=people cn=Prénom Nom

ou=structures

ou=Etab A ou=people

ou=Etab B ou=people

ou=groups

dc=Unité 1

dc=Unité 2

Modèle « classique »

Groupes dynamiques Unités de recherche (SupannEntiteAffectation)

Enjeux :

• S’appuyer au maximum sur des attributs normalisés et bien définis• Permettre une gestion séparée des comptes par établissement

Structures « Établissements »> Droits d’accès par l’établissement

Calendrier des inscriptions

Avril 2018

• Lancement du groupe de travail des « référents » (1/2 journée d’échanges)

Juillet 2018

• Précisions sur les processus d'invitation et d'inscriptions

• Ateliers de spécifications

• Présentation aux DSI

Sept. 2018

• Finalisation des développements

• Présentation de la plateforme d’inscription (fin sept.)

Oct. 2018

• Formations des référents début oct.)

• Recette

Nov. 2018

• Lancement de la campagne d’inscription (Invitations / Validations)

• Campagnessuccessives

Janv. 2019

• Clôture de la première campagne d’inscription avec vérification de la complétude

Support Communication Campus

Support technique Campus

Gestion « courante » des comptesLibellé du Formulaire Attribut / processus

Responsable du compte Attribut – manager

Date de validité Attributs – fdContractStartDate & fdContractEndDate

Liaison badge Attribut – fdBadge

Gestion de l’authentification Règles :

• Si inscription depuis un IDP tiers

> authentification générale sur celui-ci

> On crée un compte local par secours

• Si inscription libre > authentification compte Campus

Contrôle de validité Reste à préciser :

• Péremption : fdContractEndDate

• Inactivité : Date de dernière authentification sur LL::NG

• Date de dernier accès par badge (récupéré dans le système de

badgeuse)

Opportunités

• S’ouvrir à toute la fédération Renater (+ Edugain)

• Exploiter entièrement le protocole SAML V2

• Déléguer l’authentification

• Simplifier et renforcer les usages de l’identité fédérée

Exigences

• Forte disponibilité des IDP

• Consentement au niveau des IDP

• Gouvernance collégiale des identités

Risques

• Mécanismes SSO complexes / utilisateur

• Turn over organisationnel / référents

En guise de bilan : opportunités, exigences et risques