eduspot : accès réseau sans fil avec un portail captif


Les recommandations eduspot visent à simplifier, au niveau national, l'accès au réseau sans-fil des utilisateurs, dans les murs de leur établissement, mais surtout à l'occasion de visites dans d'autres établissements.
eduspot repose sur la Fédération Éducation-Recherche comme infrastructure d'authentification et sur un ensemble de pratiques communes. Ces recommandations s'adressent aux établissements d'enseignement supérieur et de recherche pour leurs visiteurs en complément de l'infrastructure eduroam.

Pour obtenir un accès réseau sans fil, un utilisateur doit :

  1. sélectionner un SSID parmi ceux qui lui sont proposés,
  2. ouvrir son navigateur,
  3. à partir du portail captif, s'authentifier auprès du service d'authentification de son ENT.

L’accès au réseau est plus difficile quand une personne n'est pas sur son campus habituel car :

  1. il n'y a pas de normalisation des SSID au sein des établissements d'enseignement supérieur,
  2. l'utilisateur n'est pas connu du service d'authentification des autres universités.

En adoptant un SSID commun, les établissements d'enseignement supérieur peuvent faciliter la connexion sans fil de leurs utilisateurs, lors de leur déplacement. La configuration réseau de l'utilisateur sera utilisable telle quelle depuis le campus d'autres universités ayant adopté le SSID national. La sélection automatique de ce SSID par le client wifi devient possible.

Le SSID national est : eduspot

La page d'accueil du portail captif proposé aux utilisateurs ne doit pas présupposer qu'ils dépendent de cette université. Le portail captif doit proposer à l'utilisateur de sélectionner son établissement de rattachement, parmi tous les établissements français.

Les mécanismes de fédération d'identité permettent d'orienter l'utilisateur vers le service d'authentification de son établissement.

La page d'accueil du portail doit permettre d'accéder à :

  • une documentation pour établir la connexion avec description des services accessibles

Si l'établissement du nomade n'est pas intégré à la fédération d'identité et que le service eduroam est aussi proposé, d'un affichage des paramètres spécifiques de l'établissement visité dans ce cadre (ssid, chiffrement)

Nous ne recommandons pas une implémentation de portail captif particulière. La caractéristique importante à prendre en compte pour le service eduspot est la capacité à déléguer l'authentification à l'infrastructure de fédération d'identité nationale (avec la norme SAML 2.0). A notre connaissance, peu de portails captifs implémentent nativement cette possibilité.

Il est souhaitable que les réseaux sans fil d'établissements proposent des environnements de travail équivalents, avec des ergonomies d'utilisation homogènes. Les recommandations eduspot définissent le cadre de ces environnements (sécurité de l'environnement, ouverture des ports, mode de fonctionnement du portail captif).

S'il existe déjà un “portail captif” dans l'établissement, eduspot a vocation à remplacer celui-ci. Les SSIDs existants et eduspot peuvent cohabiter et donner accès à la même page d'accueil à partir de laquelle les usagers locaux s'authentifient avec leur méthode habituelle et les visiteurs se voient proposer le WAYF de la fédération.

L'utilisation de l'infrastructure eduroam est complémentaire, lire cette page sur l'articulation eduroam/eduspot.

Le service d'authentification d'un établissement ne doit pas dépendre de bibliothèques hébergées à l'extérieur (ex: jquery). Il est recommandé que ces bibliothèques soient intégrées au service d'authentification (e.g. Apereo CAS) de l'établissement.

Dans le cadre du déploiement de eduSpot, RENATER propose une panoplie de ressources pour accompagner les établissements :

Par défaut les recommandations concernant les comptes CRU et eduspot sont de :

  • ne pas utiliser les “Comptes CRU” dans le cadre d’eduspot ;
  • si les “Comptes CRU” sont utilisés dans ce cadre (e.g. gestion “invités”) :
    • limiter leur usage à une liste blanche de domaines ou d'adresses email d'utilisateurs définie par l’établissement ;
    • ou, si l'accès est ouvert à tout internet, de conditionner cet accès à l'acceptation explicite par l'utilisateur de la charte RENATER (page web à valider ou case de recueil de consentement à cocher).

Une documentation plus complète concernant les comptes CRU est disponible ici

  • documentation/eduspot/index.txt
  • Dernière modification : 2023/04/04 10:40
  • de ludovic.auxepaules@renater.fr