Embed Size (px)
Citation preview
Ingénierie Informatique PEC 1/5
Pré-requis techniques Accès au service PEC
Objet : Fiche technique détaillant les pré-requis techniques pour les établissements partenaires
concernant l’accès au service PEC
Date : 17/06/2014
Version : 5.0
Contact : [email protected]
Préambule Les universités copropriétaires du PEC (l’Université de Toulouse 1 CAPITOLE, l’Université de
Toulouse 3 Paul Sabatier, l’Université Joseph Fourier de Grenoble 1 , l’Université de Poitiers) mettent à disposition de votre université une application PEC selon les modalités définies dans la convention de partenariat que votre Président a signé.
En quelques mots : L’application Portefeuille d'Expériences et de Compétences (pec) est un outil répondant à
des problématiques de projets et d'insertions professionnels. Il s'agit d'un projet inter-
établissements. L'objectif est de proposer un portail d'informations personnalisées en fonction du
profil (étudiants et accompagnateurs) et de l'établissement d'origine.
Il s'agit d'un espace numérique interactif personnel qui permettra aux étudiants:
- de conserver, organiser et capitaliser leurs expériences et compétences (saisies par
l'étudiant)
- de valoriser leurs atouts en établissant un PEC en vue d'un objectif
L'étudiant est libre de saisir du contenu dont il est le seul propriétaire, le seul à avoir accès.
L’Université Paul Sabatier Toulouse III est en charge du développement, du déploiement, de
l’administration et de l’hébergement de l’application. A ce titre, elle garantit la sécurité et la
confidentialité des données.
Données collectées / Traitements des données du PEC
- Données librement déposées par l’étudiant dans son espace personnel
L’espace personnel dans lequel il gère ses fiches est sous l’entière maîtrise de son titulaire (auto-
évaluation).
Toute information contenue dans les PEC étudiants n’est ni traitée ni accédée par les instances de
l’université.
Ingénierie Informatique PEC 2/5
- Données de création et de connexion au compte PEC
L’université Toulouse III - Paul Sabatier collecte des données de connexion issues du système d’information des universités adhérentes au dispositif national PEC.
Un dispositif d'authentification au service PEC (vérification de l’identité du titulaire d’un compte PEC) : L’Université Paul Sabatier est le fournisseur du service PEC accessible via un mécanisme de fédération d’identités (shibboleth).
Les données personnelles traitées à ce titre sont : nom, prénom, identifiant institutionnel unique,
établissement d’appartenance, statut étudiant. Ces informations sont transmises par l’université
adhérente au PEC.
- Traitements statistiques (anonymes) d’usage de la plateforme PEC : nombre d’étudiants
disposant d’un PEC ; nombre de connexions à la plateforme PEC ; nombre total de fiches PEC
réalisées…
Hébergement des données / Sécurité / Confidentialité
L’université Toulouse III - Paul Sabatier, en tant que responsable du traitement informatique de données personnelles s’est engagée à prendre toutes les précautions utiles afin de préserver la sécurité et la confidentialité de l’information contenue dans les PEC qu’elle héberge sur un serveur UT3 local dédié.
Des mesures de sécurité physiques du Data Center UT3 et logiques (sécurité des systèmes d’information) sont adoptées et adaptées à la nature des données et aux risques présentés par le PEC. Ainsi, tous les étudiants de l’UT3 ont un accès au PEC sécurisé et confidentiel sur l’intranet.
La maintenance, l’administration fonctionnelle et technique ainsi que l’hébergement de la plate-forme Portefeuille d'Expériences et de Compétences (PEC) sont réalisés sous la responsabilité des administrateurs du PEC soumis à l’obligation de confidentialité dans l’accomplissement de leur mission.
Destinataires des données du PEC
L’étudiant titulaire d’un PEC est la seule personne autorisée à accéder aux données contenues dans son PEC.
Les administrateurs réseaux assurent le fonctionnement normal et la sécurité du système informatique. Ils sont susceptibles d’avoir accès pour le bon fonctionnement du dispositif, à des informations personnelles relatives aux utilisateurs du PEC.
Les fichiers résultants de l’exploitation des outils PEC mis à disposition ne sont jamais transmis à des tiers.
L’accompagnateur désigné (facultatif) par l’étudiant, est le seul destinataire potentiel identifié en raison de sa fonction pour recevoir de façon ponctuelle l’information sélectionnée et extraite du PEC par l’étudiant qui choisit librement les contenus qu’il souhaite partager.
Dans tous les cas, seul l’étudiant peut prendre l’initiative de transmettre un contenu du PEC à l’aide les outils de communication et d’extraction dont il dispose via la plateforme PEC.
Au regard des données sensibles que l’application PEC conserve, une déclaration CNIL a été établie. Un groupe de travail interuniversitaire a été constitué sur ce sujet par la CIL de l’Université Paul Sabatier.
Ingénierie Informatique PEC 3/5
Conformément à la loi “Informatique et Libertés”, le droit d’accès, de rectification et d’opposition
aux données personnelles est garanti.
Durée de conservation des données de connexion au PEC : 1 an.
Durée de conservation des données du PEC avant suppression totale : 5 ans.
Répartition comme suit : 3 ans base active + 2 ans en base archive.
- 2 ans après dernière connexion : information du titulaire du PEC sur le mail saisi par celui-ci (lien de réactivation).
- Si aucune réactivation pendant 1 an, envoi d’un nouveau mail d’information et passage en base d’archive pendant 2 ans puis suppression définitive.
1. Contexte applicatif
Le portail web du PEC est développé à l’aide du CMS (Content management system) K-SUP. Il
prévoit un espace personnalisé pour les étudiants et accompagnateurs après une authentification.
L’accès au PEC doit être simple et sûr. De ce fait, nous avons choisi de déléguer
l’authentification à l’établissement d’origine via le mécanisme de fédération d’identité Shibboleth. La
propagation de certains attributs permet de personnaliser les contenus.
Le gain pour les établissements de rattachement ainsi que pour l’établissement qui gère la ressource
est multiple :
Pas de gestion des mots de passe des utilisateurs (initialisation, modification,
rappel, gestion des pertes, etc.)
L’utilisation du SSO permet une meilleure intégration dans l’ENT
Technologie utilisable pour différentes ressources
…
Deux types d’authentification sont possibles :
L’utilisateur accède à son espace personnel depuis l’ENT de son université d’origine. Cet
accès se présentera comme un simple lien pour l’utilisateur. Tout le mécanisme de
fédération d’identité est donc transparent pour lui. Techniquement, ce lien sera accompagné
d’un ticket contenant les attributs de l’utilisateur nécessaire pour le PEC.
L’utilisateur accède à son espace personnel depuis le site PEC. Lorsqu’il souhaite se
connecter, il accède au service WAYF (Where Are You From) qui lui propose de sélectionner
son établissement d’origine. Une fois son université sélectionnée, l’utilisateur est redirigé
vers le service central d’authentification de celle-ci. Il rentre son identifiant et mot de passe
(propres à son université), et clique sur « connexion ». Il est alors renvoyé sur son espace
personnel du PEC avec propagation des attributs nécessaires.
Ingénierie Informatique PEC 4/5
1. Les pré-requis Chaque université utilisatrice du PEC doit être fournisseur d’identité. Conformément aux
recommandations Education-Recherche, les pré-requis pour être fournisseur d’identité sont :
Seuls les établissements d'enseignement supérieur français publics sous tutelle du ministère en
charge de l'enseignement supérieur peuvent être fournisseur d'identités dans la fédération.
L'établissement doit disposer préalablement d'un service d'authentification web, utilisable
par l'ensemble de ses personnels et étudiants. Ce service d'authentification sera
typiquement un service de Single Sign-On, par exemple CAS. La brique logicielle Shibboleth
se reposera sur ce service pour authentifier les utilisateurs.
L'établissement doit disposer préalablement d'un ou plusieurs référentiels utilisateurs qui
contiennent les attributs requis dans la fédération pour l'ensemble de ses personnels et
étudiants. Un tel référentiel sera typiquement un annuaire LDAP d'établissement. La brique
logicielle Shibboleth se reposera sur ce référentiel pour délivrer des attributs utilisateurs.
a. Etre fournisseur d’identité :
Comment ?
Démarche administrative
Faire signer, à son président, une convention d’inscription
Procédure technique
Pré-requis : Service d’authentification en Single-Sign On
(CAS par exemple)
Référentiel utilisateurs (LDAP par ex.)
Compétences : Connaissances CAS, Apache, Tomcat
Installations système : J2SE-SDK, Tomcat, Apache, mod_jk et certificats
Installation Shibboleth : Téléchargement, copie des .war, redémarrage
Tomcat
Configuration : Intégration du CAS / exportation attributs LDAP
Validation finale
Prendre connaissance de la politique de la fédération
Mentionner, sur le site de Renater, les caractéristiques de son
fournisseur d’identité
Ingénierie Informatique PEC 5/5
b. Liste des attributs demandés par le fournisseur de service
Nous rappelons que l’accompagnateur pourra être :
soit un employé de l’université (administratif ou enseignant-chercheur)
soit une personnalité extérieure
Il convient donc que le référentiel de l’établissement soit alimenté en conséquence. Ces attributs
sont ceux nécessaires pour la version PEC V3.2. Cette liste est donc susceptible d’évoluer selon les
évolutions applicatives du service PEC.
urn:oid:1.3.6.1.4.1.5923.1.1.1.6 (eduPersonPrincipalName)
[identifiant unique, type login@domaine]
urn:oid:2.5.4.42 (givenName)
[prénom]
urn:oid:2.5.4.4 (sn)
[nom]
urn:oid:1.3.6.1.4.1.7135.1.2.1.23 (supannRoleGenerique)
[rôle(s) générique(s) de la personne dans l'établissement]
Les valeurs possibles de l’attribut :
{PEC}etudiant
ou
{PEC}accompagnateur
L’attribut supannRoleGenerique est essentiel car il permettra de déterminer les profils pour une
diffusion sélective des informations.
N.B : Le site http://federation.renater.fr/ vous permettra de trouver toutes les informations
nécessaires pour la mise en œuvre du Fournisseur d’identités.
