Catégories d’entités

Par « catégories d’entités », on entend une configuration normalisée au moyen de laquelle les institutions peuvent adhérer facilement aux fédérations d’identités comme la FCA, et ainsi mettre à la disposition de leurs étudiants et de leurs chercheurs les ressources des fournisseurs également membres de ces fédérations. Les institutions et les fournisseurs de services qui s’inscrivent à une catégorie d’entités conviennent d’appliquer un jeu commun de données (ou attributs) à leurs utilisateurs, afin qu’ils puissent accéder aux services répertoriés dans la catégorie en question.

Commençons par quelques définitions.

Fournisseur d’identités (IdP)

Organisation qui attribue un identifiant numérique à ses utilisateurs. Les universités, les collèges et les installations de recherche en sont des exemples. L’utilisateur obtient des justificatifs d’identité (c.-à-d., un nom d’utilisateur ou un identifiant et un mot de passe). Ensemble, ces éléments constituent son identité numérique.

Fournisseur de services (SP)

Organisation regroupant des services, des ressources ou du contenu auxquels on ne peut accéder qu’en déclinant son identité numérique. Les bibliothèques en ligne de périodiques scientifiques, les centres de calcul informatique de pointe (CIP) servant à la recherche en sciences ou les développeurs de logiciels de visioconférence pour le milieu de l’éducation en sont des exemples.

Voir la liste des fournisseurs de services qui adhèrent à la FCA

Attributs

Identité numérique composée d’éléments comme le nom, l’adresse électronique, l’affiliation (étudiant, enseignant, employé), etc. Les fournisseurs de services l’utilise pour accroître l’efficacité de leurs activités, par exemple en autorisant les enseignants, mais pas les étudiants, à utiliser certains services en fonction des attributs.

Les fédérations d’identités servent d’intermédiaire fiable pour l’échange des attributs entre fournisseurs d’identités et fournisseurs de services.

Voici comment un utilisateur accède à un service grâce à l’identité numérique que lui fournit son institution.

  1. Le fournisseur de services demande les attributs de l’utilisateur (nom, adresse électronique, nom de l’institution) au fournisseur d’identités avant de lui donner accès à ses ressources.
  2. Selon ses politiques de protection des renseignements personnels, le fournisseur d’identités demande à l’utilisateur ses identifiants. S’ils sont exacts, il diffuse le jeu d’attributs de l’utilisateur au fournisseur de services qui le réclame.
  3. Quand il reçoit le jeu d’attributs réclamé, le fournisseur de services autorise l’utilisateur à se servir de ses ressources.

En général, le fournisseur d’identités détermine quels attributs il transmettra ou pas en fonction de chaque service, qu’il configure séparément.

Catégories d’entités : une norme mondiale s’appliquant à l’échange des attributs communs

La catégorie d’entités est une norme mondiale servant à identifier les entités (les IdP – fournisseurs d’identités – et les SP – fournisseurs de services) qui ont plusieurs choses en commun : le fonctionnement de leurs systèmes, les informations ou les attributs qu’ils réclament, et les intérêts sur les plans de la sécurité et de la protection des données personnelles. En s’inscrivant à une catégorie d’entités, les IdP et les SP indiquent qu’ils sont disposés à échanger un jeu uniforme d’attributs avec les autres fournisseurs de la même catégorie.

Quand il s’inscrit à une catégorie d’entités, l’IdP diffuse un jeu harmonisé d’attributs à faible risque au reste des SP figurant dans cette catégorie, conformément aux critères établis pour la catégorie en question. La diffusion des attributs et les politiques qui la gèrent s’en trouvent simplifiées, car les fournisseurs d’identités ne sont plus tenus d’examiner et de reconfigurer leurs politiques à chaque nouveau fournisseur de services.

Parce qu’elle s’applique aux milliers d’IdP et de SP qui en font partie, la catégorie d’entités simplifie considérablement :

  • le déploiement des nouveaux services
  • l’interopérabilité des services;
  • a gestion des attributs de l’utilisateur;
  • (et surtout) les possibilités de collaboration entre chercheurs et étudiants.

Pour le SP, la catégorie d’entités facilite l’intégration des services, puisque seuls les bons attributs sont transmis en permanence aux IdP de la catégorie.

Gestion des catégories d’entités

GÉANT, le réseau paneuropéen de la recherche et de l’éducation, définit les spécifications mondiales applicables aux catégories d’entités par le truchement de son groupe de travail sur les fédérations d’institutions de recherche et d’éducation (REFEDS).

On trouvera sur le site Web de la FCA la liste des catégories d’entités que supportent ses participants.

Catégories d’entités

Les catégories d’entités élaborées par le REFEDS actuellement en usage sont les suivantes :

La catégorie Research and Scholarship (R&S) –aide à la recherche et aux études

Cette catégorie d’entités est une méthode simple et adaptable permettant aux fournisseurs d’identités de diffuser le minimum de données personnelles (ou attributs) que requièrent les fournisseurs de services s’adressant aux milieux de la recherche et des études. Parmi les services reconnus figurent les moyens et outils de collaboration comme les wikis, les blogues et les projets, de même que les outils de gestion des subventions qui nécessitent des renseignements de nature personnelle sur l’utilisateur pour fonctionner efficacement. La catégorie d’entités R&S ne s’applique pas au contenu accessible sous licence, comme la version électronique des périodiques scientifiques.

En s’inscrivant à la catégorie R&S, les participants de la FCA qui ont déployé la gestion fédérée des identités (GFI) offrent aux étudiants, aux chercheurs et aux enseignants de l’institution un accès immédiat à tous les services regroupés dans cette catégorie.

La catégorie d’entités R&S resserre la confiance que s’accordent les participants de la FCA.

Pour le fournisseur d’identités, la catégorie d’entités R&S simplifie la configuration des filtres qui laissent passer les attributs en limitant leur configuration à un seul, spécifique à la catégorie, au lieu d’un différent pour chaque service.

Avantages de la catégorie d’entités R&S

  • Plus grande commodité pour les étudiants, les chercheurs et les enseignants : accès immédiat à l’ensemble des services de la catégorie grâce aux identifiants attribués par l’institution, sans intervention de la part de l’administrateur. Chaque nouveau service s’ajoute automatiquement à la catégorie et est accessible sur-le-champ.
  • Simplification de la collaboration : quand un projet de recherche ajoute un service ou une ressource à la catégorie d’entités, la collaboration avec les institutions participantes devient automatique. Sans cela, il se pourrait que l’équipe du projet doive communiquer avec chaque institution pour activer la bonne politique de diffusion des attributs.
  • Confirmation des services : la FCA examine chaque demande venant des participants pour s’assurer qu’on a bien respecté les définitions et les exigences de la catégorie.
  • Économie de temps et de ressources : une fois la catégorie activée, l’équipe IT n’a plus rien à faire pour y ajouter de nouveaux services.

Fonctionnement

En tant qu’exploitant de la fédération d’identités canadienne (la FCA), CANARIE diffuse les métadonnées signalant qu’il supporte la catégorie d’entités R&S. Grâce à cette information, les IdP et les SP reconnaissent mutuellement qu’ils desservent le milieu de la recherche et de l’éducation, et qu’ils peuvent se faire confiance lors de l’échange d’un jeu d’attributs de base uniformisé.

S’inscrire à la catégorie d’entités R&S : un jeu d’enfant.

Si votre organisation adhère à la FCA et a déployé la gestion fédérée des identités (GFI), le travail est presque terminé. Remplissez simplement la demande d’Inscription à la catégorie d’entités R&S (aide à la recherche et aux études). La demande doit être complétée par le directeur général ou le dirigeant principal de l’information de l’organisation, ou par le signataire autorisé, le contact d’affaires principal ou le contact technique principal dont vous avez donné le nom à la FCA.

vNotre équipe prendra contact avec vous dans les cinq (5) jours ouvrables suivant la réception de la demande pour vous expliquer comment procéder. N’hésitez pas à nous contacter si vous avez la moindre question en écrivant à canops@canarie.ca.

Nouvelles du programme

le 23 octobre, 2017

Durant leurs pérégrinations, les étudiants du Canada se branchent à eduroam un million de fois par jour

En apprendre plus

le 10 avril, 2017

CANARIE s’associe à Splunk pour offrir gratuitement une formation doublée d’une certification à ses membres des milieux de la recherche et de l’éducation

En apprendre plus

le 30 septembre, 2016

La confiance règne-t-elle? Parlons-en.

En apprendre plus