Les offres disponibles pour Identitas
RENATER propose deux offres d'hébergement de fournisseur d'identités (mutualisé et dédié), afin de répondre au mieux aux besoins de ses membres.
1. Offre d'hébergement mutualisé
L’offre d’hébergement d’IdP mutualisé est une solution légère pour les petites structures (<100 utilisateurs), qui désirent bénéficier de certains services de la fédération Éducation-Recherche à moindre coût.
L'authentification des différents utilisateurs est déléguée à un seul fournisseur d’identités, qui interroge un référentiel commun (cloisonnement controlé et sécurisé entre les différents référentiels établissements), l’approvisionnement de ce référentiel reste à la charge des administrateurs d’établissements.
Avantages
- faible coût pour les établissements (service gratuit)
- pas de prérequis techniques pour bénéficier du service
Limites
- un nombre d'utilisateurs limités (<100),
- la page de connexion n'est pas personnalisable par établissements,
- il n'est pas possible de raccorder l'IdP à un annuaire déjà existant =⇒ (utilisation de l’annuaire LDAP fourni par RENATER pour l'approvisionnement des comptes),
- la politique de diffusion des attributs n'est pas configurable selon les besoins des établissements,
- les fournisseurs de service ne peuvent pas gérer les autorisations d'accès en se basant sur l'identifiant de l'IdP.
2. Offre d'hébergement dédié
L’offre d’hébergement d’IdP dédié est une solution pour les structures qui désirent plus de souplesse et une configuration personnalisée de leurs IdP.
Le fournisseur d’identités est déployé, hébergé, et configuré par RENATER selon le besoin de l’établissement faisant la demande.
Le service permet non seulement d’héberger des fournisseurs d’identités, mais aussi éventuellement un annuaire LDAP comme référentiel utilisateurs de l’établissement. Les établissements disposent d’un accès Web à cet annuaire permettant d’ajouter, de supprimer et de définir des utilisateurs et leurs droits.
Avantages
- il est possible de raccorder l’IdP à un unique annuaire LDAP (OpenLDAP, Active Directory…)
- il est également possible d'héberger un annuaire ldap dédié à l'établissement (utilisé uniquement pour les besoins d'authentification par l'IdP). Cette solution :
- est destinée aux établissements ne disposant pas déjà d'un annuaire
- n'offre qu'une IHM de saisie manuelle des comptes utilisateurs
- ne permet aucune synchronisation avec une source de données de l'établissement
- n'offre aucun mécanisme d'import/export des comptes
- une configuration personnalisée de la page d’authentification de l’IdP
- l'IdP avec nom de domaine de l’établissement
- il est possible de déléguer la partie authentification au serveur CAS de l'établissement
Limites
- Un coût financier de déploiement plus important.
3. Synthèse des deux offres
Offres d'hébergement | Mutualisé | Dédié |
---|---|---|
Gratuit (hors frais d'activation) | OUI | NON |
Nombre d'utilisateurs limités | OUI (100) | NON |
Pré-requis techniques | NON | OUI |
IdP avec nom d'établissement | NON | OUI |
Configurations personnalisées | NON | OUI |
Possibilité d'annuaire dédié | NON | OUI |
Branchement à un annuaire distant | NON | OUI |
Branchement à un serveur CAS distant | NON | OUI |