2.1.2 LE CHOIX DE LA SOLUTION
CAS-SHIBBOLETH
Les solutions d'authentification présentées
ci-dessus nous ont permis de voir certaines particularités ou certains
avantages des unes par rapport aux autres. Pour répondre aux exigences
de notre système, les particularités impressionnantes des
solutions CAS etShibboleth ne nous ont pas laissé seulement le choix de
l'un d'entre eux. Nous avons donc associé ces deux solutions et cela se
justifie :
CAS est proposé comme mécanisme
d'authentification centralisé de web SSO. Il ne traite pas les besoins
liés aux autorisations (droits applicatifs), ni aux
fédérations d'identités et au transport d'attributs.En
outre, la base d'authentification est locale, au niveau de
l'établissement. Les aspects inter-établissements ne sont donc
pas pris en compte. Par contre,Shibbolethpropose un mécanisme de
transport d'attributs et d'authentification inter-établissements. De
récentes discussions autour de Shibbolethlaissent entendre qu'un
mécanisme de SSO pourrait être proposé. Mais, Shibboleth
à la possibilité de déléguer le SSO à
CAS.
CAS
CAS est en production dans plusieurs Universités
américaines, avec des authentifications internes Kerberosou LDAP, ce qui
permet d'être confiant sur sa fiabilité.
· La sécurité est assurée par les
dispositifs suivants : le mot de passe de l'utilisateur ne circule qu'entre le
navigateur client et le serveur d'authentification, nécessairement
à travers un canal crypté.
· Des librairies clientesen Java, Perl, JSP, ASP, PL/SQL
et PHP sont livrées. Cela permet une grande souplesse sur les serveurs
d'applications. L'intégration dans des outils utilisés dans le
monde universitaire est d'ores et déjà faite, comme celle
d'uPortal.
· L'utilisation de cookies exclusivement
privés dans CAS (passage de tickets entre serveur d'authentification et
applications uniquement sous forme de paramètres de GET HTTP) permet
à CAS d'être opérationnel sur des serveurs situés
dans des domaines DNS différents.
· Un module Apache (mod_cas) permet d'utiliser CAS pour
protéger l'accès à des documents webstatiques, les
librairies clientes ne pouvant être utilisées dans ce cas.
· Un module PAM (pam_cas) permet de « CAS-ifier
» des services non web, tels que FTP, IMAP, ...
SHIBBOLETH
Le Comité Réseau des Universités a retenu
Shibboleth pour construire une infrastructure defédération
d'identités pour l'enseignement supérieur français.
Surtout la topologie d'une fédération de type
Shibbolethcorrespond bien à la structuration d'un
ensembled'établissements de l'enseignement supérieur. De plus
c'est un produit open source, soutenu par une communauté active et
ouverte.
· Ouvrir l'accès à une ressource
locale (thèses, cours en ligne) à d'autres
Etablissements
· Gérer un intranet pour une population
disséminée dans plusieurs établissements
On considère ici un groupe de personnes appartenant
à différents établissements et amenés
àtravailler ensemble, donc à partager des documents, des outils
de travail collaboratif (forums, wikis,gestionnaires d'enquêtes, autres
outils métiers).
· Gérer l'authentification pour des
populations à la frontière de l'établissement (anciens ou
futurs étudiants)
Les applications de pré-inscription des
étudiants ou d'enquêtes auprès des anciens
étudiants, concernent des populations quine sont pas encore ou plus
gérées dans le système d'information de
l'établissement. On ne dispose donc pas de service d'authentification
pour ces utilisateurs qui ne rentrent pas forcément dans le moule
(déjà complexe) des utilisateurs (étudiants, chercheurs,
enseignants, autres personnels...).
| 
