Rencontres LCG-France 01/12/2014
Agenda La Fédération Education-Recherche –Pourquoi, pour qui, comment ? L’inter-fédération eduGAIN Autres travaux et perspectives pour la fédération Quelques perspectives RENATER en 2015
Fédération d’identités3 Une fédération d’identité, pourquoi ? Accès de N organisations à M services : Complexité en NxM ! risque dans la gestion des informations d’authentification oublis des identifiants de connexions par les utilisateurs accès à des services insuffisamment sécurisés gestion de référentiels utilisateurs pour chaque application
Le principe du cercle de confiance Chartes de participations Diverses recommandations –CNIL (protection des données à caractère personnel) –Gestion d’identités Cadre technique –Spécifications de métadonnées Fédération basée sur les besoins d’une communauté
Fédération d’identités5 La Fédération Education - Recherche Maîtrise d’ouvrage: RENATER Définition du périmètre Élaboration des documents formels Maîtrise d’œuvre : RENATER –Maîtrise de la technologie et de ses évolutions –Suivi de la cohérence entre les différents sites –Relations techniques avec les acteurs (support, info.) –Gestion administrative de la fédération –Formations, contributions/relations internationales (GÉANT Association, REFEDS)
Fédération d’identités6 Sécuriser et faciliter l’accès aux ressources La fédération permet d'unifier les identifiants de l’utilisateur ; Centraliser la gestion dans des annuaires sûrs et bien maintenus ; Connexions et accès sécurisés : Certificats serveur, échanges d'assertions SAML ; Méta données de la fédération socle de la confiance entre les entités. Gérées par l’opérateur de la fédération ; Administrateurs de services n’ont plus à maintenir des référentiels.
Les mots de passe ne circulent pas –Juste une preuve d’authentification Authentification ET attributs utilisateurs –Utiles pour contrôle d’accès et personnalisation Technologies standard –Branchements CAS et LDAP Echanges contrôlés –Possibilité d’ajuster le cercle de confiance par service par IdP Quelques précisions
Principe 1/2 Discovery Service
Principe 2/2 Référentiel SP Ressource IdP Discovery Service Page de login Preuve d’authentification + Ensemble d’attributs Chiffré et signé Navigateur utilisateur
Fédération d’identités10 La fédération Education-Recherche aujourd'hui Service ouvert en 2006 Envergure actuelle : –230+ établissements fournisseur d’identités –540+ ressources accessibles Les usages actuels –Services mutualisés (régionaux, nationaux, internationaux) –Documentations électroniques –e-learning –applications métier mutualisées –extranets –...
Fédération d’identités11 Exemples de service Listes + wikis RENATER Service de liste couplé avec un wiki ; Gestion d’authentification séparés entre les deux applications (sympa, dokuwiki) ; Unification de l’authentification grâce au Single Sign On assuré par Shibboleth ; Transferts de fichiers volumineux Obtention des certificats TCS Accès aux services de visioconférence RENAvisio EVO rendez-vous (2015)
Les comptes CRU Comptes Réseaux Universels IdP ouvert à tous les utilisateurs : –Création du compte en quelques minutes –Sans formalités –Ne nécessite qu’une adresse électronique valide –Permet d’accéder aux services qui les acceptent … mais : –Aucune connaissance de l’identité de l’usager (juste le fait qu’il lit les mails à l’adresse qu’il a déclaré)
eduGAIN La fédération d’identités à l’échelle internationale
ce que eduGAIN rend possible un chercheur dans un des pays connectés peut accéder à une application en s’authentifiant auprès de son propre établissement Id P SP Id P
eduGAIN les atouts plus besoin d’un compte invité auprès de chaque service international l’utilisateur contrôle son identité l’organisme maîtrise le niveau de sécurité du compte eduGAIN favorise les collaborations internationales
eduGAIN articulation avec RENATER prolongement de la Fédération Education- Recherche –RENATER publie les IdP/SP internationaux –RENATER intègre les IdP/SP français dans eduGAIN objectifs –favoriser l’utilisation de eduGAIN en France –permettre aux organismes français de maitriser les données échangées
eduGAIN une fédération globale
eduGAIN comment l’utiliser ? pour un utilisateur –son organisme doit mettre en œuvre la fédération d’identités pour un organisme –configuration de son IdP pour eduGAIN – pour une communauté de chercheurs –mettre en œuvre la fédération d’identités –solliciter assistance de RENATER
eduGAIN les cas d’utilisation neuGRID for you - –portail web dédié à la recherche scientifique dans le domaine des maladies neurodégénérative Elixir - –gestion des accès la la base de données EGA (Genome- Penome Archive) LIGO - –Laser Interferometer Gravitational Wave Obseratory Dariah - –Digital Research Infrastructure for the Arts and Humanities
Fédération en 2015 ? Fédération locale/hébergée Inter-fédération avec l’Education Nationale Authentification renforcée Attribute Authority, gestion de groupes/VO pour les application non web –projet Moonshot –participation de RENATER
Quelques perspectives RENATER en
Quelques perspectives RENATER 6 –Augmentation de la résilience du réseau –Longueurs d’ondes 100G (PLM + boucle ouest) –Gestion de la collecte Services de sécurité supplémentaires –DDOS mitigation –RENAscan Interopération des fédérations –Généralisation de EduGAIN –Fédération EN Visioconférence –Développement de rendez-vous EVO like Indico en front end
Merci de votre attention ! (et rendez-vous sur)