Steve Colin (Coordinateur de la Cellule eServices du Campus Numérique de la Haute-Ecole Condorcet) a réalisé récemment un manuel pour vous aider à implémenter l’authentification Office365 en configurant Shibboleth IdP v4.x sur Debian-Ubuntu Linux (avec Apache2 + Jetty9). Cette configuration spécifique est disponible dans nos pages FAQ sous une forme particulièrement bien détaillée.
Nous avons posé quelques questions à Steve Colin afin d’avoir plus de détails sur ce manuel et mieux comprendre sa démarche de partage de connaissance au sein de la communauté académique.
Pouvez-vous nous présenter votre manuel?
Ce manuel permet de déployer la version 4.1 de Shibboleth sur un système d’exploitation Linux (Debian-Ubuntu) afin de rejoindre la Fédération d’Identité Belnet ainsi que la Fédération eduGAIN. Il détaille l’implémentation de l’authentification à l’aide d’Azure Active Directory/Office365.
« Je souhaite rendre plus accessible la Fédération d’Identité aux partenaires académiques qui sont parfois freinés par l’idée d’une complexité de déploiement. » (Steve Colin)
Comment avez-vous réalisé ce manuel, quelles sources avez-vous utilisées?
Ce manuel a été rédigé sur base de plusieurs documentations officielles existantes et disponibles sur Internet (Documentation officielle de Shibboleth, travaux du consortium GARR en Italie).
Nous y avons ajouté les commentaires et précisions qui nous semblaient utiles et qui font souvent défaut aux procédures du monde open-source. Nous avons également ajouté des scripts qui permettent de générer certains attributs nécessaires au bon fonctionnement des Fédérations d’Identité.
Je l’ai rédigé avec l’aide de mon collègue Alexandre Bourgeois, Administrateur Système au Campus Numérique Hainaut-Enseignement (Haute-Ecole Condorcet) et de Pascal Panneels (Belnet).
Comment avez-vous eu l'idée de partager ce manuel avec notre communauté?
La notion de partage est très importante et est une philosophie que nous appliquons au quotidien au Campus Numérique. Je pense que la majorité des établissements d’enseignement supérieur sont dans cette dynamique. Je souhaite aussi rendre plus accessible la Fédération d’Identité aux partenaires académiques qui sont parfois freinés par l’idée d’une complexité de déploiement. Je pense que l’avenir de l’enseignement est dans la co-diplomation, la collaboration et l’échange. Il est donc important pour nous d’y apporter notre contribution technique.
Quel est l'impact de l'utilisation de l'authentification Office365 à Shibboleth?
En ce qui concerne l’Enseignement de la Province de Hainaut (Haute-Ecole Condorcet, Promotion Sociale et Enseignement Secondaire), cela nous apporte une uniformisation de notre mécanique d’authentification unique et centralisée.
Depuis la pandémie de COVID, nous avons souhaité renforcer cette authentification en y apportant stabilité, haute-disponibilité et sécurité. Nous avons donc fait le choix de travailler avec l’authentification Azure Active Directory (Office365) qui répond parfaitement à ces trois critères. Dans cette logique, nous avons souhaité lier la totalité de nos outils à cette authentification.
Dans un premier temps nous avons évalué la possibilité de rejoindre directement la Fédération d’Identité Belnet à l’aide d’Azure AD. Cette solution « directe » impliquait trop de conversions d’attributs et de modifications de métadatas. Shibboleth intervient à ce niveau, en le configurant comme proxy-SAML, il permet la jonction entre Azure AD et la Fédération.
Steve Colin (Coordinateur de la Cellule eServices du Campus Numérique de la Haute-Ecole Condorcet)
Est-ce que l'installation varie selon la taille de l'organisation?
Je dirais plutôt que l’installation va varier selon le nombre d’applications que l’institution veut relier à la Fédération. En effet, une configuration par application est la situation idéale apportant flexibilité et sécurité. De cette manière, les attributs distribués sont filtrés et seuls les attributs nécessaires à l’application visée sont envoyés lors d’une authentification réussie.
« La notion de partage est très importante et est une philosophie que nous appliquons au quotidien au Campus Numérique » (Steve Colin)
Pour les institutions de très grande taille, il sera utile de déployer un cluster de serveurs Shibboleth afin d’offrir la plus haute disponibilité. Nous n’avons pas fait ce choix actuellement et l’étudierons certainement prochainement.
Quels conseils donneriez-vous aux organisations désireuses d'ajouter l'authentification Office365 à l'aide de votre manuel ?
Ne pas voir cela comme étant compliqué, se réserver au moins deux jours.
Si l’institution possède déjà un serveur en Shibboleth V2 ou V3, repartir à partir de zéro et installer la V4.1. Il y a trop de changements entre ces versions majeures de Shibboleth et cela occasionne une trop grande perte de temps.
Il est également possible de rejoindre une deuxième fois la Fédération avec une entité de test pour ne pas impacter un serveur déjà en production. Enfin, il ne faut surtout pas hésiter à faire appel à Belnet, sans qui ce déploiement n’aurait pas été possible et qui est toujours d’une aide très précieuse.
Le manuel de Steve Colin vous intéresse?