Création d’un fournisseur de services au CRDP du Poitou-Charentes

par | Classé dans : Documentation, Etude | 0

Contexte

Le CRDP de Poitiers est éditeur de plusieurs applications pédagogiques (E-Sidoc, Cerise…) à destination des établissements scolaires.

Nous avons reçu une forte demande d’intégration de ces applications au niveau du SSO des ENT Envole, afin de pouvoir fournir aux utilisateurs un accès authentifié à ces applications à partir de leur ENT.

L’intégration de ces applications dans notre SSO nécessite la rédaction d’un jeu de filtres pour chacune de ces applications (et pour chaque établissement).

Une réflexion a donc été engagée par le CRDP afin de simplifier ce processus.

 

Objectifs

  • Le CRDP proposera aux éditeurs d’ENT une interface de connexion à leur(s) service(s).
  • Cette interface sera capable d’échanger avec divers fournisseurs d’identité en SAML 2.0
  • Elle doit être capable de fédérer les identités à partir des attributs suivants :
    • ctemail : mail académique des agents de l’académie
    • FrEduVecteur : vecteur d’identité des élèves et parents

 

Avancement des travaux

L’académie de Poitiers et le CRDP du Poitou-Charentes ont réalisé une maquette de cette fédération en utilisant comme fournisseurs d’identité les serveurs FIM académiques (FIM Agent et FIM Téléservices) ; et valident le fonctionnement de la fédération pour les deux chaînes d’authentification.
On peut imaginer une fédération à partir du serveur Seshat d’une académie de la même manière

 

Principe de fonctionnement

L’académie est fournisseur d’identité et le CRDP fournisseur de services.
Ces deux entités (que nous nommerons FI et FS) doivent établir une relation de confiance entre elles. On importe donc sur le FI le certificat utilisé par le FS.
On importe dans le FI les metadonnées du FS (fichier XML définissant entre autres les urls de fédération ainsi que les jeux d’attributs utilisés) et celle du FI dans le FS.
On configure l’association au niveau du FI, cela revient à dire au fournisseur de service d’envoyer tel(s) attribut(s) lors de la fédération avec le FS.
Une fois ceci fait, la fédération est fonctionnelle. Un utilisateur identifié sur le FI peut se fédérer avec le FS.
Lors de la fédération le FI va envoyer le (ou les) attribut(s) définis dans l’association au FS, qui sera capable de construire une identité locale à partir de ces informations.

 

Et ensuite ?

Pour l’instant seul le fonctionnement de la fédération est validé.
La première ressource à être disponible avec ce processus sera Cerise.

A noter que pour les académies ne disposant pas d’un serveur d’authentification centralisé, l’ancienne procédure restera valable (en utilisant l’authentification locale du scribe).

Nous vous tiendrons réguilièrement informés via ce blog de l’avancée des travaux avec le CRDP.