ETQ super-admin Mettre en place un mécanisme d'authentification unique externe pour l'ESR
Status
-
Expression du besoin rédigée -
Analyse rapide par l'Adullact -
Cadré avec l'équipe DS -
Développement par ... -
Code intégré dans le logiciel DS -
Déployé sur l'instance DS de l'Adullact
Résumé
Objectif de cette évolution : Il s’agit pour la communauté Enseignement Supérieur et Recherche (ESR) de doter le service Démarches Simplifiées (DS) d’une fonction d’authentification utilisant le dispositif utilisé dans l’ESR.
L’utilisation de ce mécanisme avec DS apporte aux utilisateurs administrateurs et instructeurs une simplicité d’usage en intégrant leur mécanisme d’authentification unique et habituel.
Pour les usagers ESR (voir définition), cela apporte en plus la possibilité de pré-remplir des champs à partir de données déjà fournies à leur établissement (dans une logique « Dites le nous une fois »).
Cette issu liste les Users Stories d’un point de vue fonctionnel. Coté technique, le choix est d’utiliser la Fédération Education Recherche, dont la technologie SAML 2 est largement éprouvée, supervisée par Renater, l'opérateur réseau de l'ESR. Ce choix présente l’avantage d’une solution commune à tous les établissements et qui gère le multi-établissements.
Coté implémentation, il sera intéressant de modulariser/encapsuler cette fonctionnalité pour qu’elle puisse être remplacée par un autre mécanisme d’authentification unique en dehors de l’ESR.
Définitions
Définition « Usagers ESR » : un personnel (enseignant - chercheur, technique, administratif) ou étudiant (apprenant, doctorant) ou personne extérieure (alumni, prestataire, visiteur, émérite etc.) d’un établissement de l’Enseignement Supérieur et Recherche, selon les définitions de la recommandation SupAnn.
Définition « Instructeurs ESR » : un personnel (enseignant - chercheur, technique, administratif) ayant un rôle d’instructeur dans DS.
Définition « Administrateurs ESR » un personnel (enseignant - chercheur, technique, administratif) ayant un rôle d’administrateur dans DS.
Contexte
Au sein de l'ESR (Enseignement Supérieur et la Recherche), la gestion des identités et l'authentification unique est gérée pour chacun des établissements comme un composant incontournable des SI. Un mécanisme de fédération d'identité permet une authentification partagée au sein de la communauté ESR en s'appuyant sur l'authentification de l'établissement de l'usager et un cercle de confiance entre tous les établissements. Les usagers et les DSI requièrent l'utilisation d'un mécanisme d'authentification unique (SSO) pour tous les services numériques de l'établissement. L'absence de ce mécanisme autour de Démarches Simplifiées est un frein à son déploiement dans l'ESR.
Actuellement
Pour les usagers, instructeurs, administrateurs : utilisation d'un mécanisme d'identification via user/password ou recours à France Connect.
Comportement attendu
Pour les usagers,instructeurs, administrateurs ESR s'identifier à DS via le mécanisme de fédération d'identité de l'ESR (Fédération Education Recherche)
Présentation de la Fédération Education Recherche (FER) à but pédagogique
Définitions
-
Les utilisateurs finaux : il s'agit des personnes qui se connectent à la fédération d'identité. Ils se connectent par le WAYF (Where Are You From) ou discovery service. A noter qu'il y a dans certains cas demande de consentement à la fourniture des attributs par IdP. Exemple : Pierre Dupont.
-
Les fournisseurs d'identité (IdP Identity Provider): ce sont les organismes auxquels sont rattachés les utilisateurs finaux (dans le cadre de l'ESR, il s'agit d'un établissement ou d'un organisme de recherche). Ils ont pour rôle de créer, maintenir et gérer les identités numériques des utilisateurs finaux ainsi que leurs facteurs d'authentification. Leurs utilisateurs pourront accéder à une ou plusieurs ressources proposées dans la fédération. Exemple : Pierre Dupont est rattaché à l'Université de Haute Alsace.
-
Les services ou ressources (SP Service Provider) : ce sont toutes les entités qui fournissent au travers d'un réseau des logiciels ou des services informatiques auxquels peuvent accéder les utilisateurs via la fédération d'identité. Exemple : https://www.sciencedirect.com/
-
L'opérateur de la fédération : il s'agit de l'entité qui gère la fédération d'identité. En France, l'opérateur de la FER (Fédération Identité Recherche) est Renater.
-
Fédération d'identité : c'est un moyen pour les organisations de partager des informations à propos des utilisateurs finaux, le but étant qu'ils puissent naviguer entre différentes ressources après s'être authentifié une seule et unique fois auprès d'un tiers de confiance garant de leur identité (IdP). Exemple : la FER, qui est elle-même membre d'une fédération internationale qui agrège différentes fédérations du monde de l'enseignement et de la recherche : EduGain.
Elle repose sur l'échange de jetons d'authentification. Elle s'appuie sur le standard SAML dans le cas de la FER et sur la séparation des responsabilités du fournisseur d'identité et de la ressource. Elle est souvent associée à un SSO (Single Sign-On), le CAS(Central Authentification Service) pour la FER. Dans le cadre technique de la FER, il n'y a aucune obligation à utiliser CAS comme support d'authentification. Certains administrateurs fournisseurs d'identités choisissent de paramétrer leur IdP pour accéder directement à un annuaire LDAP pour l'authentification - Shibboleth agit comme un SSO autonome. D'autres passent par un AD d'établissement, etc. https://www.apereo.org/projects/cas
Déroulement d'une connection via la fédération d'identité
-
L'utilisateur final, usager ESR, se rend sur la page d'acceuil d'une ressource, par exemple https://www.sciencedirect.com/.
-
Il clique sur le lien "se connecter", une nouvelle page s'affiche et il peut choisir de se connecter via son institution.
-
Une fois son institution sélectionnée, l'utilisateur final est automatiquement redirigé vers la page d'authentification de son institution où il peut se connecter avec ses identifiants et mots de passe habituels.
-
Lorsqu'il est authentifié, le fournisseur d'identité va automatiquement récupérer des informations sur l'utilisateur final dans le référentiel de l'institution. Une page de consentement, qui affiche les attributs sur le point d'être transmis, s'affiche avec la possibilité de refuser la transmission au SP attribut par attribut (du moins, lorsque l'IdP utilise Shibboleth).
-
Il est ensuite renvoyé vers la ressource où il est automatiquement authentifié et peut alors l'utiliser.
-
Lors de cette redirection, la ressource reçoit une preuve informatique d'authentification de la part du fournisseur d'identité et éventuellement des informations sur l'utilisateur. Ces informations sont transmises sous la forme d'attributs qui, dans le cadre d'une fédération d'identités, appartiennent à un ensemble documenté dans lequel chacun possède une sémantique précise et nécessairement commune à tous les IdP. Concernant la FER, ces attributs sont issus de la recommandation SupAnn. Ils sont décrits ici : https://registry.federation.renater.fr/attributes.
-
Pendant un lapse de temps défini dépendant de la configuration du SSO de l'établissement fournisseur d'identités, l'utilisateur peut se connecter à d'autres ressources de la fédération d'identité sans avoir à se réauthentifier.
Eléments non techniques
En dehors des outils informatiques, le fournisseur d'identité et la ressource doivent se faire confiance. En effet, d'un côté le fournisseur d'identité a la responsabilité de l'authentification de l'utilisateur et de l'autre la ressource a la responsabilité des données utilisateur fournies. Ainsi, ces deux membres de la fédération d'identité s'engagent à respecter certaines règles (chartes, cadres techniques, données à jour ...)
Les méta-données
L'opérateur de la fédération d'identité maintient à jour une liste des ressources et des fournisseurs d'identité inscris dans la fédération ainsi que des informations techniques à leur sujet. Ces informations sont publiques et permettent aux différentes briques logicielles de fonctionner ensembles. Elles sont publiées sur un site centralisé, sous la forme de fichiers XML que les membres de la fédération doivent recharger à intervalles réguliers. Chacun des membres de la fédération est connu sous un identifiant unique : l'entityId.
le WAYF (Where Are You From) ou discovery service
Il s'agit d'un menu déroulant permettant à l'utilisateur de choisir le fournisseur d'identité capable de l'authentifier. L'Université de Haute Alsace dans le cas de Pierre Dupont par exemple. C'est la seule fonctionnalité de la fédération d'identité visible pour l'utilisateur final. Il y a aussi le consentement. En pratique, le WaYF peut être soit global (on peut utiliser celui de la FER), soit appartenir au SP (lorsque l'on veut restreindre les IdPs, ou bien afficher une présentation particulière...).
Eléments techniques de mise en oeuvre pour Démarches Simplifiées
La mise en oeuvre technique de cette évolution sera détaillée dans ce paragraphe après le choix définitif. L'orientation au 2/10/23 est l'usage d'un reverse proxy.
Lotification
Ce projet est découpé en 3 lots ou épics par ordre de priorité. Le 1er lot sera déjà une avancée significative permettant une plus large utilisation de DS dans l'ESR.
Le sujet est découpé en 3 lots / Epic – utiliser la Fédération Éducation Recherche dans l’EPIC 1 – Paramétrer le choix authentification dans une démarche dans l’EPIC2 – Injecter des attributs issus de la FER dans les formulaires dans l’EPIC3
Identification des US
EPIC 1 - authentification par sources multiples, mais identité unique de l’usager ESR
US 1 – Connexion au service Démarches Simplifiées
US 2 – Modification d’adresse mail ISSUE 53
EPIC 2 - choix des fournisseurs d’identité
US 1 – Configuration d’une démarche
EPIC 3 - injection des attributs
US 1 – Saisie d’une démarche
US 2 – Configuration d’une démarche
US 3 – Demande de consentement RGPD
User story
Format : “En tant que” (ETQ), “je souhaite”, “afin de”
TODO : à rédiger (maintenant ou plus tard)
ETQ instructeur,
Je souhaite, ...
Afin de ...
Tests d'acceptation
Format : “En tant que” (ETQ), “Quand je”, “Alors”
TODO : à rédiger (maintenant ou plus tard)
ETQ instructeur
Quand je ...
Alors ...