2.1.2 LE CHOIX DE
LA SOLUTION CAS-SHIBBOLETH
Les solutions d'authentification
présentées ci-dessus nous ont permis de voir certaines
particularités ou certains avantages des unes par rapport aux autres.
Pour répondre aux exigences de notre système, les
particularités impressionnantes des solutions CAS et Shibboleth ne nous
ont pas laissé seulement le choix de l'un d'entre eux. Nous avons donc
associé ces deux solutions et cela se justifie :
CAS est proposé comme mécanisme
d'authentification centralisé de web SSO. Il ne traite pas les besoins
liés aux autorisations (droits applicatifs), ni aux
fédérations d'identités et au transport d'attributs. En
outre, la base d'authentification est locale, au niveau de
l'établissement. Les aspects inter-établissements ne sont donc
pas pris en compte.
Par contre, Shibboleth propose un
mécanisme de transport d'attributs et d'authentification
inter-établissements. De récentes discussions autour de
Shibboleth laissent entendre qu'un mécanisme de SSO pourrait
être proposé. Mais, Shibboleth à la possibilité de
déléguer le SSO à CAS.
CAS
CAS est en production dans plusieurs Universités
américaines, avec des authentifications internes Kerberos ou LDAP, ce
qui permet d'être confiant sur sa fiabilité.
· La sécurité est assurée par les
dispositifs suivants : le mot de passe de l'utilisateur ne circule qu'entre le
navigateur client et le serveur d'authentification, nécessairement
à travers un canal crypté.
· Des librairies clientes en Java, Perl,
JSP, ASP, PL/SQL et PHP sont livrées. Cela permet une grande souplesse
sur les serveurs d'applications. L'intégration dans des outils
utilisés dans le monde universitaire est d'ores et déjà
faite, comme celle d'uPortal.
· L'utilisation de cookies exclusivement
privés dans CAS (passage de tickets entre serveur d'authentification et
applications uniquement sous forme de paramètres de GET HTTP) permet
à CAS d'être opérationnel sur des serveurs situés
dans des domaines DNS différents.
· Un module Apache (mod_cas) permet d'utiliser CAS pour
protéger l'accès à des documents web statiques,
les librairies clientes ne pouvant être utilisées dans ce cas.
· Un module PAM (pam_cas) permet de « CAS-ifier
» des services non web, tels que FTP, IMAP, ...
SHIBBOLETH
Le Comité Réseau des Universités
a retenu Shibboleth pour construire une infrastructure de
fédération d'identités pour l'enseignement
supérieur français. Surtout la topologie d'une
fédération de type Shibboleth correspond bien à la
structuration d'un ensemble d'établissements de l'enseignement
supérieur. De plus c'est un produit open source, soutenu par une
communauté active et ouverte.
· Ouvrir l'accès à une ressource
locale (thèses, cours en ligne) à d'autres
Etablissements
· Gérer un intranet pour une population
disséminée dans plusieurs établissements
On considère ici un groupe de personnes
appartenant à différents établissements et amenés
à travailler ensemble, donc à partager des documents, des outils
de travail collaboratif (forums, wikis, gestionnaires d'enquêtes, autres
outils métiers).
· Gérer l'authentification pour des
populations à la frontière de l'établissement (anciens ou
futurs étudiants)
Les applications de pré-inscription des
étudiants ou d'enquêtes auprès des anciens
étudiants, concernent des populations qui ne sont pas encore ou plus
gérées dans le système d'information de
l'établissement. On ne dispose donc pas de service d'authentification
pour ces utilisateurs qui ne rentrent pas forcément dans le moule
(déjà complexe) des utilisateurs (étudiants, chercheurs,
enseignants, autres personnels...).
| 
