Couperin et shibboleth André DAZY – Couperin - Département « Etudes et Prospective »

1. Couperin et shibboleth André DAZY – Couperin - Département « Etudes et Prospective » Andre.dazy@couperin.org Journée Fédération Paris, le 24 janvier 2011

2. Plan 1- Pourquoi la fédération d’identité intéresse-t-elle Couperin ? 2- Etat des lieux 3- Ce que fait couperin pour la promotion de shibboleth 4- Perspectives (RAPTOR, eduGAIN, ERMS, licences nationales) 5- Problèmes soulevés par shibboleth

3. 1- Pourquoi la fédération d'identités intéresse-t-elle Couperin ? • Accès nomade, authentifié et sécurisé • Respect des licences • Personnalisation : possibilités inhérentes à la propagation d’attributs : profilage de services, segmentation de l’offre, donc négociations plus resserrées • Fédération RENATER va permettre de couvrir l’ensemble du périmètre des membres de Couperin (EPST)‏

4. 2- Etat des lieux • Liste des éditeurs ayant implémenté la technologie Shibboleth (Source JISC) http://www.ukfederation.org.uk/content/Documents/AvailableServices • Liste des ressources accessibles dans la fédération Éducation-Recherche : https://federation.renater.fr/participants/ressources

5. Liste des éditeurs (mise à jour par RENATER)

6. Couperin et la fédération • Enquête auprès de ses membres sur l’accès distant auprès des membres du consortium Couperin en octobre 2007 • 50 % des membres ont un mode d’accès distant • Une cohabitation de différentes techniques implémentées successivement ( VPN + reverse proxy + Shibboleth )‏ •  20 % des répondants utilisent une fédération d’identités

7. Enquête •  Deux ressources en ligne : le portail Sudoc de l'ABES et le portail ScienceDirect d'Elsevier : fournisseur de service  • 12   établissements   d'enseignement   via la fédération du CRU (technologie Shibboleth) : fournisseur d’identité •  de mars à décembre 2006

8. Bilan fournisseur de service • Frein : • l’installation de la brique logicielle nécessite un investissement important • Gains : • reconnaître un usager d’une connexion à l’autre • profiler des services grâce à la propagation des attributs • déléguer l’authentification aux fournisseurs d’identités • niveau de sécurité constant

9. Bilan pour les établissements • Gains : • Méthode standardisée pour l’accès aux ressources extérieures (progrès par rapport à un reverse proxy)‏ • Utilisable pour l’accès à tout type de ressources : éditoriales, pédagogiques, métiers… • Intégration complète à l’ENT • Freins : • Pas de statistiques, contrairement au reverse proxy • Peu répandu chez les éditeurs pour l’instant • Situation mixte (fédération d'identités/reverse proxy) qui va perdurer

10. 3- Promotion de shibboleth • RENATER prend contact avec les éditeurs que Couperin lui indique. Couperin valide pour l'inscription administrative • Incitation pour petits éditeurs : solution : une aide financière et un agrégateur qui se substiturait à eux type hyghWire Press

11. Promotion de shibbolethCRU/RENATER et Couperin/Négociateurs • Expliquer la technologie • Choisir les attributs utilisateurs adaptés • Tester avec un établissement • Mention des attributs dans les contrats (et la licence type) Travail sur les licences avec les fournisseurs de service et sur le nommage dans les référentiels d’établissement • Rapprochement avec la norme ONIX-PL • Information auprès des adhérents et négociateurs Couperin • Dans les négociations : parler de shibboleth, demander installation

12. Modèle de mail vers les éditeurs

13. Le wiki de la liste accesdistant

14. 4- Perspectives • RAPTOR http://iam.cf.ac.uk/trac/RAPTOR/wiki/ProjectReports Mise au point d’un logiciel en Opensource pour les universités anglaises Ce logiciel a pour but de proposer des statistiques sur les usages d’un établissement (via shibboleth (ou un EZproxy) et notamment aux non-techniciens Version alpha est sur le point d’être mise en place “disponible” en mars 2011

15. Perspectives • eduGAIN Projet européen d’interconnexion des fédérations européennes. RENATER n’est pas pour l’instant dans eduGAIN

16. Perspectives • ERMS Couperin teste un pilote mis en place par Serials solutions (Proquest) dans 5 établissements Lyon2, Bordeaux1, PRES de Toulouse, INRIA, Paris Descartes Jusqu’en juin 2012 Ensuite une base de connaissances commune : simplification des accès si shibboleth

17. Perspectives • Licences nationales shibboleth serait le meilleur moyen pour une connexion simple

18. 5- Problèmes soulevés par shibboleth • Est-ce que shibboleth permet une meilleure vision des usages ? (RAPTOR) Avec Shibboleth, tous les accès se faisant directement vers la ressource, une analyse des logs d’un serveur est impossible. • Quel respect de la vie privée ? • Comment gérer la superposition des périmètres, la multi-appartenance (problèmes institutionnels ) ? • Révélation parfois de conflits d’accès (conflit en terme de licence)

19. Transition Le reverse proxy et autres outils de ce type (VPN, etc.) continueront à être nécessaires tant que le dernier fournisseur « utile » ne se sera pas converti à shibboleth Comment gérer une situation mixte (shibboleth / reverse proxy) ?

20. Merci de votre attention Des questions ? couperin http://www.couperin.org Andre.dazy@couperin.org