[Scodoc-devel] CAS / ScoDoc

Damien MASCRÉ mascre at univ-paris13.fr
Lun 11 Mar 21:33:04 CET 2013


Bonsoir,

Pardonnez moi pour le délai de ma réponse...

Le 27/02/2013 18:48, Emmanuel Viennet a écrit :
> 2013/2/27 SOUDIERE Dominique <dominique.soudiere at univ-lehavre.fr>:
>> Bonjour,
>>
>> je ne prends pas part à la discussion sur Zope et compagnie car je n'y
>> connais pas grand chose.
>> Cela dit je rejoins la foule pour dire qu'effectivement ce serait super de
>> pouvoir se connecter en LDAP mais sans pour autant empêcher une autre
>> connexion peut-être pour les vacataires. Encore que, je pense qu'ils doivent
>> avoir comme chez nous la possibilité d'une adresse mail universitaire sur
>> demande ou sinon le secrétariat peut faire la saisie des notes (courtes
>> vacations).
>
> Je m'oriente plutôt vers CAS.
> http://fr.wikipedia.org/wiki/Central_Authentication_Service
>
> service présent dans de nombreuses universités et facile à utiliser.
>
> L'idée serait:
> 1- l'utilisateur (enseignant, administratif) arrive sur ScoDoc
>     Il peut s'identifier en local comme actuellement (ScoDoc gère
> toujours sa liste d'utilisateurs et leurs permissions)
>     ou bien choisir de s'identifier via CAS: dans ce cas, étape 2
>
>   2- l'utilisateur est redirigé vers la page d'identification CAS de
> son IUT ou Université
>      il entre son nom et mot de passe
>
>   3- si succès, il est redirigé vers ScoDoc.
>       Ici, ScoDoc reçoit son identifiant (login CAS).
>       Le problème: cet identifiant n'est pas toujours celui de ScoDoc
> (exemple: je peux être "emmanuel.viennet" sur le CAS de mon IUT et
> "viennet" sur ScoDoc).
>      ScoDoc va donc gérer un attribut supplémentaire: le login CAS de
> chaque utilisateur (il sera renseigné par l'admin ScoDoc au moment de
> la création de l'utilisateur, et sera optionnel et par défaut on prend
> le même sur CAS et ScoDoc).

Cas intermédiaire : via une recherche ldap ou la récupération
d'attributs via saml (avec un serveur en cas version 3+), il est
possible d'utiliser les attributs nom/prénom/mail, mail étant
certainement celui qui est le plus discriminant, pour retrouver
l'utilisateur.

Aussi, il y a certainement des établissements qui autorisent
les logins multiples, dont l'email. C'est une piste pertinente,
via le supannAliasLogin du ldap (et que cas honore aussi).

>   4- Si ScoDoc retrouve l'utilisateur, il lui colle un cookie
> d'authentification de session et ça continue comme avant.
>
> Un risque: s'il y a dans le CAS un utilisateur déclaré avec le même
> nom qu'un identifiant ScoDoc, il y a risque d'intrusion: risque agravé
> si les étudiants sont présents dans le CAS. Comment gérer cela
> proprement ? (empêcher la correspondance par défaut "login ScoDoc ==
> login CAS" ?)

Toujours dans le cas d'une session cas, couplé à une requete ldap/saml,
on peut discriminer, souvent les attributs supannAffectation et
eduPersonAffiliation permettent de savoir si on a à  faire à un
étudiant/enseignant/iatoss/extérieur.

> Des idées ou commentaires ? Est-ce que cette approche est pertinente ?
>
>
> J'ai pris un peu de retard car je bosse (quand j'ai de petits moments
> libres) sur le code ScoDoc pour moderniser: passage à Zope 2.13.19. Le
> but est de permettre un upgrade de la version de Python, et donc
> ensuite de pas mal d'autres composants. C'est pas mal de travail, j'en
> suis à changer l'adaptateur de base de données (passage de psycopg à
> psycopg2). Attendez vous à de grosses diffs dans les semaines qui
> viennent, sans nouvelles fonctionnalités.
>
>
>> Une autre idée d'amélioration:
>
> Mmmm un seul sujet par mail SVP ;-)
>
>
> Amicalement,
> Emmanuel
>

-- 
Damien MASCRÉ
Université Paris 13
01 49 40 20 67


Plus d'informations sur la liste de diffusion Scodoc-devel