inclusion POC CC
This commit is contained in:
parent
0c2b3d5a29
commit
132c25c081
|
@ -612,6 +612,32 @@ TODO rappel SMTP
|
|||
# Mise en œuvre et réalisations
|
||||
|
||||
## Approvisonnement lors d'un WebSSO SAML2 – Cas des comptes invités
|
||||
### Presentation
|
||||
Dans le cadre du projet Campus Condorcet, les annuaires de différents établissements doivent être regroupés en un méta-annuaire central. Aussi des problématiques d'homogénéisation de données hétérogènes se pose.
|
||||
|
||||
La phase de travail préparatoire à la réalisation du projet a consisté en le développement d'un POC (*Proof Of Concept*) permettant d'illustrer la procédure de constitution du méta-annuaire.
|
||||
|
||||
Le POC implémente un mécanisme simple d'ajout d'un compte invité ayant recours à un fournisseur de service, qui lui même repose sur un fournisseur d'identité SAML2 configuré pour assurer le SSO (*Single Sign-On*).
|
||||
|
||||
### Déroulement de l'ajout du compte invité dans l'application POC
|
||||
|
||||
Suivant un scenario classique de SSO, l'authentification depuis le fournisseur de service (SP) est déléguée à un fournisseur d'identité (IdP). Le fournisseur d'identité conclut la phase d'authentification par le renvoi d'une assertion SAML validant l'authentification.
|
||||
|
||||
De nombreuses informations présentes dans l'assertion SAML seront ensuites réutilisées par le fournisseur de service. Le contenu complet de l'assertion SAML est consultable en annexes de ce document, à titre indicatif. On remarquera la normalisation de la majorité des entrées (noeuds, attributs, corps) XML des messages SAML.
|
||||
|
||||
En particulier, les champs SAML permettant d'identifier l'utilisateur connecté sont récupérés de l'assertion. Ces champs permettent de déterminer si l'utilisateur n'est pas déjà renseigné dans le méta-annuaire OpenLDAP (annuaire d'aggrégation des référentiels d'identités des établissements partenaires du projet).
|
||||
|
||||
Si l'utilisateur ne se trouve pas dans le méta-annuaire, la procédure d'ajout du compte doit être effectuée. Un formulaire est alors proposé à l'utilisateur, il lui permet de valider ses données d'identités et de choisir une unité d'affectation.
|
||||
|
||||
La création et la gestion du formulaire sont prises en charge par l'outil w.c.s. Cet outil se base sur la notion de workflow, c'est-à-dire la cohabitation de procédures automatisées de traitement de l'information d'un part, et le recours à des actions manuelles de la part d'agents d'autre part.
|
||||
|
||||
Une fois le formulaire rempli par l'utilisateur, le workflow est configuré pour l'envoi automatique d'un email à un agent, pour la confirmation de création du compte.
|
||||
|
||||
Le plugin Passerelle permet la communication avec l'annuaire, permettant l'ajout de l'entrée LDAP correspondant au compte nouvellement créé.
|
||||
|
||||
L'appel au plugin Passerelle doit être effectué en tant que phase du workflow. La validation de la demande doit être rendue possible par la génération d'un lien envoyé par email à l'agent.
|
||||
|
||||
|
||||
|
||||
## Cas d'usage et prototypage
|
||||
|
||||
|
|
Reference in New Issue