Cette FAQ (frequent asked questions) vise à éclairer succintement quelques points techniques et juridiques sur l'accès distant aux ressources électroniques. Elle sera enrichie au fur et mesure de travaux en cours. N'hésitez pas à suggérer une question à Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser..

Qu'est que l'accès distant par VPN (Virtual Private Network), réseau privé virtuel ?

Un VPN correspond à une interconnexion de réseaux locaux via une technique de "tunnel", c'est-à-dire en permettant aux données passant d'une extrémité à l'autre du VPN d'être transmises de manière sécurisée. Les données sont encapsulées et transmises de façon chiffrée. Ainsi un VPN recrée virtuellement un environnement de travail sur une machine se trouvant en dehors d'un réseau local mais nécessite l'installation d'un logiciel spécifique sur cette machine.

Qu'est-ce que l'accès distant par reconnaissance d'IP ?

C'est déclarer au serveur d'un éditeur/fournisseur, sur lequel sont stockées ses ressources électroniques, les adresses IP des ordinateurs d'un établissement autorisés à s'y connecter. Cela définit l'accès aux ressources électroniques des communautés implantées physiquement dans un établissement. Une adresse IP (Internet Protocol) est un numéro qui identifie l'interface avec le réseau de tout matériel informatique (routeur, imprimante, téléphone, etc.) qui y est connecté.

Qu'est-ce que l'accès distant par la mise en place d'un proxy ?

Un serveur mandataire ou proxy est un serveur informatique qui fait fonction d'intermédiaire entre les ordinateurs d'un réseau local et Internet. C'est un serveur "mandaté" par une application pour effectuer une requête sur Internet à sa place. Dans la mesure où le proxy est un intermédiaire entre des utilisateurs du réseau local pour accéder à des ressources externes, il est parfois possible de l'utiliser pour authentifier les utilisateurs mais cela suppose une configuration du navigateur internet de l'utilisateur.

Qu'est-ce que l'accès distant par la mise en place d'un reverse proxy ?

Un reverse proxy est un type de serveur proxy qui permet aux utilisateurs d'internet d'accéder indirectement aux serveurs d'un réseau local. Un utilisateur, avec son ordinateur personnel (à son domicile ou ailleurs), se connecte au reverse proxy de son université qui se connecte aux serveurs des fournisseurs, sans reconfiguration du navigateur de l'utilisateur. C'est donc une technologie transparente pour les utilisateurs et qui renforce la sécurité du réseau local.

Qu'est-ce que SSO (Single Sign-On) ?

SSO signifie « authentification unique ». C'est une méthode permettant à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques ou sites web sécurisés. CAS (central authentication service) est un système d'authentification qui compte parmi les SSO.

Un SSO rend-il inutile l'usage d'un reverse proxy ?

Non, c'est un complément indispensable du serveur d'authentification unique. Il le restera tant que de nombreux éditeurs n'offriront que l'accès par reconnaissance d'IP à leurs ressources électroniques. Il est préférable que le reverse proxy n'utilise pas un logiciel spécifique, mais soit complètement intégré à l'espace numérique de travail (ENT) et qu'il soit contrôlé par un serveur d'authentification unique (CAS par exemple) ou Shibboleth.

Qu'est-ce que Shibboleth ?

Shibboleth est un système d'authentification unique d'approche fédérative ou coopérative. Dans un tel système, chaque utilisateur dépend d'une des entités partenaires de la fédération. Lorsqu'un utilisateur cherche à accéder à un service du réseau, l'utilisateur est authentifié par le partenaire dont il dépend. Ainsi chaque service du réseau gère indépendamment sa propre politique de sécurité. L'authentification étant déléguée à chaque membre de la fédération, c'est la confiance entre chaque membre qui fait la sécurité du réseau.

Shibboleth ne remplace pas un produit de SSO, ni un annuaire, mais au contraire s'appuie sur ce type de briques.

Quelles relations entre Shibboleth, CAS, l'annuaire LDAP et l'ENT ?

Shibboleth et CAS ont deux fonctions différentes :

- CAS offre le SSO pour les applications déployées dans le système d'information d'un établissement.

- Shibboleth offre le SSO (et la diffusion d'attributs) pour des applications situées en dehors du système d'information d'un établissement.

Shibboleth et CAS sont donc complémentaires : Shibboleth peut s'appuyer sur CAS pour l'authentification des utilisateurs. Shibboleth ne remplace pas non plus l'annuaire LDAP d'un établissement. Au contraire il se branche sur cet annuaire pour en extraire des attributs utilisateurs (de façon contrôlée). Shibboleth n'a pas de relation directe avec l'ENT. Cependant il permet un accès assez transparent aux services extérieurs via l'ENT. D'une part si un utilisateur est déjà connecté sur son ENT (via un SSO) il n'aura pas à se reconnecter pour accéder à d'autres services extérieurs. D'autre part, il est possible de proposer dans l'ENT des liens directs vers les services extérieurs, de sorte que l'utilisateur n'aura pas à passer par un WAYF (Where Are You From, propre au système fédératif) pour sélectionner son établissement.

Shibboleth rend-il inutile une solution reverse proxy ?

Non, ces deux dispositifs demeureront complémentaires tant que tous les éditeurs ne sont pas compatibles Shibboleth.

Un établissement peut-il développer en interne une solution d'accès distant à ses ressources documentaires ?

Oui, cela est possible, mais à condition de disposer de l'appui d'un solide service informatique prêt à y engager du temps. La maintenance de l'accès distant suppose une adaptation aux évolutions des caractéristiques des serveurs de chaque fournisseur. Cette maintenance est bien entendu plus lourde à supporter seul qu'en réseau.

Que prévoient les contrats de licences en terme d'accès distant ?

Majoritairement, rien n'apparaît de manière explicite dans les contrats de licences. Cependant faute de préciser clairement que l'accès distant (remote access) est autorisé, les licences prévoient, de droit, l'accès aux ressources par les utilisateurs autorisés. La gestion légale de cet accès est à la charge des établissements acquéreurs des ressources.

Sources :

http://www.cru.fr/faq/federation/index

http://fr.wikipedia.org/wiki/Accueil

http://www.commentcamarche.net/

http://www.ja-sig.org/products/cas/

http://shibboleth.internet2.edu/