Projet Fédération pilote du CRU

La fédération pilote du CRU est un des derniers projets portés par le comité. Elle est s'appuie sur le système Shibboleth pour répondre aux besoins nouveaux de partages de ressources entre établissements, par exemple dans le cadre des UNR.

La fédération pilote du CRU est un des derniers projets portés par le comité. Elle est s'appuie sur le système Shibboleth pour répondre aux besoins nouveaux de partages de ressources entre établissements, par exemple dans le cadre des UNR.

À mesure que ces dernières vont proposer de plus en plus de services en ligne (comme l'enseignement à distance) le contrôle des accès devra être coordonné entre les différentes universités qui la composent.

"Si plusieurs universités offrent un service d'enseignement à distance commun un problème d'authentification va se poser" indique Florent Guilleux, "il faut contrôler l'identité de la personne qui se connecte et vérifier qu'elle soit bien enregistrée comme étant un étudiant dans l'une des universités et, de plus, comme étant dans la formation correspondante au cours proposé".

"L'avantage d'une fédération d'identités basée sur Shibboleth est d'assurer cette authentification de manière transparente" précise Olivier Salaün, "l'étudiant se connecte un seule et unique fois sur le portail de son université et accède aux cours en ligne proposés par l'UNR sans avoir à s'authentifier à nouveau auprès de la plate-forme commune d'enseignement à distance. Cette dernière, recevant la demande d'accès au service de la part de l'étudiant, va interroger l'université d'où il provient. Le réseau de l'université donnera, ou non, son accord au service commun pour que l'étudiant puisse accèder au service"

"Ce système est basé sur la confiance entre les partenaires puisque le gestionnaire du cours à distance ne peut pas tenir à jour une liste nominative des étudiants chaque année, et ce pour toutes les universités de l'UNR" avertit Olivier Salaüun "il est nécessaire que la plate-forme d'enseignement à distance fasse confiance à l'université dans la gestion de ses étudiants et de ses personnels. Par exemple un étudiant qui a fini ses études ne doit plus être dans la base de données de l'université et n'aura donc plus accès au service."

"Les partenaires doivent donc s'entendre sur un mode opératoire commun, autant du point de vue fonctionnel qu'administratif, auquel tous devront se conformer : c'est le principe de la fédération d'identités" explique Oliver Salaüun.

Pratiques et usages autour du projet Schibboleth de fédération pilote du CRU

Le CRU teste le système in vivo en le mettant au service du réseau Couperin pour gérer l'accès aux revues numériques en ligne.

Des éditeurs comme Elsevier ont déjà des briques Schibboleth installées sur leurs serveurs. Techniquement il suffit d'installer des briques Schibboleth du côté des établissements d'enseignement supérieur pour que les procédures d'authentification puissent s'opérer.

Treize universités et établissements d'enseignement supérieur se sont portées volontaires pour tester cette brique Schibboleth dans leurs relations numériques avec Elsevier durant le premier semestre 2006.

Ce système d'authentification permet ainsi de s'affranchir de la règle "un accès pour une adresse IP".

Ainsi un chercheur souhaitant accéder au fond d'Elsevier ne sera pas obligé d'être connecté au réseau depuis l'ordinateur de son laboratoire mais pourra travailler depuis chez lui ou de n'importe quel autre poste. Schibboleth se chargera de vérifier si ce chercheur appartient bien à telle ou telle université et "dira" au serveur d'Elsevier qu'il possède les droits d'accès nécessaires. Ce dernier ouvrira alors une session pour l'ordinateur personnel du chercheur.

L'installation de ce système ne prend que deux à trois jours, notamment grâce au travail très en amont effectué par le CRU qui a clarifié ce dossier, rédigé des documentations en français et mis en place des serveurs test. Ceci valant pour la partie technique.

La partie administrative, concernant la fédération d'identités, n'est pas encore complètement aboutie. La convention qui permettra aux partenaires d'instaurer une confiance sur le mode opératoire des partenaires sera publiée en janvier 2006.

"Nous allons commencer par un niveau d'exigence assez souple, destiné à des applications non critiques, pour laisser aux partenaires le temps de découvrir le fonctionnement sans une pression trop importante" indique Florent Guilleux.