CANARIE - Fédération canadienne d'accès

text + text -
Imprimer

La Fédération canadienne d’accès est un cadre de confiance reposant sur des politiques et des ententes qui ont pour moteur deux technologies (en mai 2011).

L’utilisateur est authentifié par son organization, celle la plus à même d’établir son affiliation. Celle-ci lui procure un nom d’utilisateur avec lequel il accédera aux services offerts par l’organisation.

L’organisation d’origine (ou fournisseur d’identité) a pour responsabilité de préserver l’information personnelle sur l’utilisateur auquel elle procure des justificatifs d’identité. Il peut s’agir d’un institut de recherche ou d’un établissement d’enseignement (à savoir, université, organisme de recherche, hôpital universitaire, etc.).

Quand l’utilisateur souhaite accéder à des services situés ailleurs que dans son organization, l’organisation d’accueil réclame une authentification de l’organisation d’origine par le truchement du service fédéré de gestion des accès. En plus d’authentifier la personne, l’organisation d’origine peut aussi être priée d’indiquer que l’utilisateur est bien qui il prétend être et de confirmer d’autres attributs qui serviront à établir à quels services il peut accéder.

Les décisions concernant l’accès aux services demeurent le privilège du fournisseur de services.

Études de cas    

InCommon, l'homologue américain de la Fédération canadienne d'accès, a publié un certain nombre d'études de cas qui démontrent la valeur d'approches novatrices de l'identité fédératrice et des systèmes de gestion des accès. Ces études de cas fournissent des exemples concrets d'utilisation avec les parties prenantes du campus, les DSI, et d'autres publics sur les avantages de fédérer.

On trouvera les études de cas ici, uniquement en anglais.  

Informations à l’intention de l’utilisateur    

Pour savoir si votre organization est participant de la Fédération, et pour voir la liste des fournisseurs de services, cliquez ici.

Si votre organization ne fait pas partie de la Fédération, communiquez avec votre directeur principal de l’information.

 

Informations à l’intention du personnel de soutien technique    

Les participants de la Fédération canadienne d’accès peuvent recourir aux services d’eduroam et de Shibboleth.

eduroamAperçu : services de gestion des accès sans fil avec eduroam

  • eduroam – permet l’accès à des réseaux sans fil sécurisés sur les campus universitaires du Canada et de l’étranger.
  • Les étudiants, les enseignants et les chercheurs sont mobiles grâce à la connexion sans fil qu’ils établissent durant leurs déplacements dans d’autres organizations. Normalement, le visiteur devrait obtenir une autorisation temporaire spéciale. Obtenir les justificatifs d’identité supplémentaires exige des efforts additionnels de la part du visiteur et de l’organization.
  • Quand le visiteur et l’organization sont inscrits à eduroam, le premier a automatiquement accès aux réseaux sans fil de la seconde grâce aux justificatifs d’identité de sa propre organization.
  • eduroam ( pour education roaming, éducation itinérante) est une norme internationale créée en Europe, qu’ont adoptée de nombreux pays du monde. www.eduroam.org

ShibbolethAperçu : accès aux applications Web par Shibboleth

  • Les étudiants, les enseignants et les chercheurs accèdent à maints services et applications grâce à un navigateur Web.
  • Naguère, une authentification était nécessaire avant qu’on accède aux applications d’usage restreint. Pareille authentification s’effectuait habituellement au moyen d’un nom d’utilisateur et d’un mot de passe que conservait chaque fournisseur d’application. Non seulement ce dernier devait-il garder les justificatifs d’identité de tous ses clients, mais l’utilisateur devait s’en souvenir. Plus important encore, les renseignement personnels de l’utilisateur étaient stockés par de nombreuses organisations qui présentaient peu de liens avec lui.
  • Avec Shibboleth, l’utilisateur peut accéder à une application à distance après vérification des justificatifs d’identité (nom d’utilisateur/mot de passe) que lui a fournis son organization d’origine. Le fournisseur de services ne reçoit que les renseignements pré-approuvés dont il a besoin pour dispenser le service. Les modifications que l’organization d’origine apporte aux justificatifs d’identité se reflètent automatiquement dans les transactions subséquentes.
  • Puisque l’organization authentifie l’utilisateur, une simple ouverture de session suffit. Après vérification de l’identité de l’utilisateur, l’organization d’origine peut autoriser l’accès à d’autres services automatiquement et de manière invisible. L’utilisateur n’a donc pas besoin d’ouvrir une autre session pour accéder aux services dont il a besoin.
  • Shibboleth a été développé par les participants d’Internet 2, aux États-Unis. Le service recourt à un protocole normalisé de gestion des accès (SAML) qu’endossent les secteurs de l’éducation et du commerce de nombreux pays. www.shibboleth.internet2.edu