par Carole Letrouit

Il existe trois façons de mettre en place un service d'accès distant aux ressources documentaires électroniques : 

Un réseau VPN (Virtual Private Network, Réseau privé virtuel)

Il applique un protocole particulier qui crée un « tunnel » entre des réseaux via une liaison Internet. Les données transmises sont encryptées. Cette solution nécessite l'installation d'un logiciel sur l'ordinateur de l'utilisateur ce qui entrave le nomadisme. Elle est onéreuse, en particulier pour les gros établissements ; mais hautement sécurisée.

Les reverse proxy

De façon schématique, les reverse proxy effectuent des requêtes sur les pages web de serveurs distants (ceux des fournisseurs de données) pour le compte de clients en substituant leur propre adresse IP à celle des clients. Ils comportent des programmes réécrivant les url à la volée de façon à leur ajouter un préfixe mentionnant le serveur mandataire (reverse proxy). Ce processus assure à l'établissement la maîtrise les ressources documentaires auxquelles il donne accès par ce canal ; mais il implique une maintenance plus ou moins lourde en fonction du nombre de ressources. Le contrôle des personnes habilitées à consulter ces ressources est effectué par le biais d'un annuaire. Cette solution ne requiert ni configuration du navigateur web, ni sollicitation du fournisseur de données.

SSO-CAS et Shibboleth

Les protocoles SSO-CAS et Shibboleth normalisent l'accès distant. Ils ont pour caractéristique de dissocier l'authentification des personnes comme membre d'une communauté de l'autorisation d'accès à un service. La première est assurée par un fournisseur d'identités (une université, par exemple) ; la seconde par un fournisseur de données ou services (un éditeur, par exemple). Ces protocoles impliquent l'installation d'une brique logicielle du côté fournisseur d'identités, comme du côté fournisseur de services. La brique logicielle installée du côté fournisseur d'identité est soit un service SSO-CAS qui sert de frontal à l'annuaire de l'établissement, soit un service Shibboleth qui s'insère en frontal d'un seul ou plusieurs CAS (ce peut être un autre SSO) et d'un seul ou plusieurs annuaires d'établissement. Elle étend les fonctions de ces derniers aux accès extérieurs et peut propager des attributs vers les prestataires des services, ce qui revient à gérer des profils d'utilisateurs.

Grâce au SSO (Single signe on), que ce soit CAS ou un autre, l'utilisateur ne s'identifie qu'une seule fois et accède ensuite à tous les services de l'ENT auxquels il a le droit. Shibboleth permet de gérer des fournisseurs d'identité multiples qui voudraient bénéficier d'un même service. Les fournisseurs d'identités et de services collaborent dans le cadre d'une fédération à laquelle ils doivent adhérer expressément. Celle-ci mutualise les relations de confiance qui doivent exister entre membres de la fédération et évite la multiplication de relations bilatérales.

Le rôle du CRU

Le CRU (Comité Réseau des Universités) gère une fédération de ce type. Elsevier, Ebsco et l'ABES ont adhéré à la fédération du CRU ainsi que quinze autres fournisseurs de service non-documentaires. Vingt-sept universités et IUFM en sont membres en tant que fournisseurs d'identité : http://federation.cru.fr/cru/liste_fournisseurs.

D'autres accords sont en négociation.

Le site https://wiki.internet2.edu/confluence/display/seas/Home recense les fournisseurs de service compatibles Shibboleth ou en phase d'implémentation de ce protocole.

Ces solutions techniques ne s'excluent pas réciproquement. Elles peuvent être combinées. Le protocole Shibboleth se répand chez les plus grands éditeurs ; en revanche, il est prévisible qu'il ne pourra être implémenté par les plus petits. Les reverse proxy permettent de donner un accès distant aux ressources de ceux-ci. Le document joint sur le projet de l’UNR Rhône-Alpes relate une expérimentation du service SSO-CAS seul.

Aspects juridiques

L'étude comparée des licences montre que fort peu d'éditeurs interdisent l'accès distant. Les seules exceptions recensées proviennent du domaine juridique et des ressources destinées à l'origine aux particuliers (médecins de ville, avocats...). La définition des utilisateurs autorisés varie elle sensiblement d'une licence à l'autre et Couperin a amorcé un travail de sensibilisation des éditeurs en vue d'une harmonisation.

Carole Letrouit, 19 septembre 2007