Les fournisseurs d’accès à des ressources électroniques payantes exigent qu’une procédure d’authentification des usagers soit mise en place afin de s’assurer que la ressource est bien utilisée par la population autorisée dans le cadre de la licence signée par l’établissement. Cette authentification peut reposer sur des mots de passe, méthode inadaptée à une population qui se compte en milliers, sur des adresses IP, qui identifient non pas des individus, mais des ordinateurs connectés au réseau informatique de l’établissement signataire de la licence, ou bien encore sur un annuaire de personnes autorisées.

1. VPN
2. Reverse-proxy
3. Shibboleth
   
   1. fédération d'identités : les participants
   2. fédération d'identités : les fournisseurs
   3. la question des statistiques

Les services d’accès distant visent à offrir aux membres de l’établissement la possibilité d’accéder aux ressources documentaires où qu’ils se trouvent. Ils supposent le passage d’une logique «physique», celle du réseau informatique, à une logique «communautaire».

L’établissement doit se doter d’un annuaire qui recense l’intégralité de ses membres. Il existe pour ce faire un protocole normalisé dit LDAP (Lightweight Directory Access Protocol).

Un schéma national d’annuaire, appelé « SupAnn » a été élaboré pour l’Enseignement supérieur. Il vise à harmoniser les données enregistrées dans les annuaires des établissements. Ces derniers doivent en particulier être en mesure de restreindre l’accès à une ressource de façon à respecter la définition des utilisateurs autorisés explicitée dans le contrat passé avec l’éditeur.

Ceci implique que l’annuaire comporte les informations nécessaires à la mise en œuvre de ces restrictions.

Schématiquement, trois types de solutions techniques peuvent être retenus afin de mettre en œuvre un service d’accès distant :

Un réseau VPN (Virtual Private Network, réseau privé virtuel)

Cette solution équivaut à « pousser » un bureau virtuel sur l’ordinateur de l’utilisateur, autrement dit à recréer l’environnement utilisé dans l’établissement. Elle limite donc le nomadisme.

Un reverse proxy

De façon schématique, le reverse proxy effectue des requêtes sur les pages web de serveurs distants (ceux des fournisseurs de données) pour le compte de clients en substituant sa propre adresse IP à celle des clients. Il comporte des programmes réécrivant les url à la volée de façon à leur ajouter un préfixe mentionnant le serveur mandataire (reverse proxy). Ce processus assure à l’établissement la maîtrise les ressources documentaires auxquelles il donne accès par ce canal. Les url ainsi modifiées diffèrent de celles indiquées par les moteurs de recherche. L’utilisateur est contraint à passer par le portail de la bibliothèque ou de l’établissement. Le recours à un reverse proxy implique une maintenance plus ou moins lourde en fonction du nombre de ressources. D’autre part, certains outils utilisés pour le développement des sites web (Flash, frames) créent pour les reverse proxy des obstacles plus ou moins faciles à surmonter. Le contrôle des personnes habilitées à consulter ces ressources est effectué par le biais d’un annuaire.
Cette solution ne requiert ni configuration du navigateur web, ni sollicitation du fournisseur de données.

 Le protocole Shibboleth

Il normalise l’accès distant et donc diminue sensiblement les opérations de maintenance. Du côté des usagers, il se prête à tous les parcours documentaires, même si ceux-ci n’ont pas été balisés au préalable par les bibliothécaires, ce qu’impose l’utilisation d’un reverse proxy.

Ce protocole a pour caractéristique de dissocier l’authentification des personnes comme membre d’une communauté de l’autorisation d’accès à un service. La première est assurée par un fournisseur d’identités (une université, par exemple) ; la seconde par un fournisseur de données ou services (un éditeur, par exemple). Ce protocole implique l’installation d’une brique logicielle du côté fournisseur d’identités, comme du côté fournisseur de services.

Shibboleth désigne à la fois un protocole, fondé sur le langage SAML ( Security Assertion Markup Language) et un produit implémentant celui-ci. Il est développé depuis 2003 par Internet 2, un consortium d’universités américaines. Le code source est libre d’accès. Shibboleth bénéficie en outre d’une communauté de développeurs actifs. Une offre commerciale d’assistance et de support se met en place.

La technologie Shibboleth bénéficie aux universités et aux éditeurs :

• elle demande des efforts de développement des deux cotés,

• les universités ne comptent pas subventionner ces développements pour les éditeurs, 

• l'inscription dans la fédération Education-Recherche est gratuite,

• RENATER et le CRU proposent des formations régulières, ouvertes aux éditeurs, mais payantes.

Voir aussi la présentation de la CREPUQ (Conférence des Recteurs et des Principaux des Universités du Québec ) et la présentation de l’ICIST (Institut Canadien de l'Information Scientifique et Technique)

Les solutions techniques ne s’excluent pas réciproquement. Elles peuvent être combinées. Le protocole Shibboleth se répand chez les grands éditeurs ; toutefois il est prévisible qu’il ne pourra être implémenté par les plus petits pour des raisons de compétences informatiques et de coût humain. Les reverse-proxies permettent de donner un accès distant aux ressources des grands, moyens et petits éditeurs.

Voir la FAQ sur l'accès distant.

Les fournisseurs d’identités et de services collaborent dans le cadre d’une fédération à laquelle ils doivent adhérer expressément. Celle-ci mutualise les relations de confiance nécessaires entre membres de la fédération et évite la multiplication de relations bilatérales. Le CRU (Comité Réseau des Universités) a créé une structure de ce type qui a été étendue à tous les organismes de recherche dans le cadre du GIP Renater.

A ce jour, cette fédération regroupe 306 établissements fournisseurs d’identités, ce qui représente environ un million d’utilisateurs potentiels. Voir la liste complète mise à jour.

L’Université Numérique Régionale d’Ile de France a demandé à ses membres d’adhérer tous à la fédération Éducation-Recherche en 2010. Cette dernière compte aussi 65 services ou ressources émanant de sociétés commerciales, mais aussi d’universités.

Les fournisseurs

Les éditeurs de revues ou bases de données sont encore peu nombreux mais une action pédagogique a été menée à leur égard par le CRU et Couperin jusqu'en 2011-12.

Cette liste est mise à jour régulièrement sur https://services.renater.fr/federation/participants/ressources

A la date du 16/09/2013, sont en production au sein de la Fédération Éducation Recherche :

• American College of Chest Physicians Publications
• Annals of Internal Medicine
• BMJ Journals
• Brill
• CAIRN
• Cambridge University Press Shibboleth Provider
• Classiques Garnier Numérique
• Dawsonera.com
• Disaster Medicine and Public Health Preparedness
• Duke University Press Journals ONLINE
• EBSCO Information Services
• ETRS - SP PMB
• Elsevier ScienceDirect
• Elsevier Scopus
• HighWire Press
• IEEE Xplore
• IOP Publishing online services
• JAMA & Archives Journals
• Journal Watch
• Journals of the American Society of Clinical Oncology
• Journals of the American Society of Nephrology
• Journals of the Royal College of Psychiatrists
• Le Monde diplomatique - Archives
• LeMonde.fr - Edition abonnés - Espace Education
• LexisNexis JurisClasseur
• Lextenso Editions
• Lyell Collection
• Masaryk University - Atlases - Pathology Images
• MetaPress
• OvidSP Precision Search and Discovery - DataBases, E-Journals and E-Books
• Oxford Journals
• Oxford Medical Handbooks Online
• Oxford Textbook of Medicine
• ProQuest Platform
• Rockefeller University Press Journals
• Royal Society Publishing
• Royal Society of Chemistry Publications Online
• SAGE Journals Online
• SpringerLink and Springer for R&D
• The American Physiological Society
• The American Society of Mammalogists
• The Company of Biologists journals
• The Electrochemical Society
• The Journal of Bone and Joint Surgery, British Volume
• The Royal Society of Medicine Press Journals
• Web of Knowledge
• Wiley Online Library
• Medfilm

Sont inscrits administrativement : 

• Highwire (dont RSC)
• Immatériel
• Wiley-Blackwell

Sont en discussion : 

• Informa (Taylor & Francis) 
• JSTOR
• Universalis 
• Vubis Smart

Outre la délégation d’authentification, Shibboleth permet aussi de gérer la propagation d’attributs entre les membres d’une fédération, ce qui revient à gérer des profils d’utilisateurs. La fédération définit les noms, la sémantique et la nomenclature des attributs diffusés en son sein ; mais il appartient aux fournisseurs d’identités et aux fournisseurs de services de s’entendre sur les attributs à propager. La déontologie veut qu’ils le soient « au plus juste », c'est-à-dire uniquement s’ils sont indispensables pour l’accès et l’utilisation du service. Ces attributs se rangent en trois catégories :

• les identifiants (eduPersontargetedId), 
• les nominatifs (eduPersonPrincipalName) et 
• les attributs décrivant l’appartenance (eduPersonEntitlement).

Les uns et les autres perçoivent clairement l’intérêt que ces informations peuvent revêtir pour eux : les fournisseurs y voient le moyen de mieux connaître les utilisateurs et de leur proposer des services personnalisés à haute valeur ajoutée. Les établissements qui achètent des services y voient le moyen de négocier plus fin, d’obtenir une segmentation du marché dont on peut espérer des prix mieux ajustés. A ce propos le site de la CNIL donne quelques éclairages (en particulier Partie II chapitre 10).

Les fédérations d’identités créées dans les autres pays ont quasiment toutes optées pour Shibboleth : les Etats-Unis et la Suisse ont amorcé la tendance. La Finlande, la Norvège, l’Australie et l’Allemagne ont suivi. Le périmètre de la fédération peut varier : la FEIDE (Norvège) englobe les établissements scolaires et universitaires. Même des pays, tels que la Grande-Bretagne et l’Espagne, qui avaient initialement privilégié une approche centralisatrice de l’authentification (Athens en Grande-Bretagne), favorisent maintenant l’émergence de fédérations (UK Access Management Federation), impliquant une gestion distribuée des authentifications.

La question des statistiques

Shibboleth ne permet pas à l’établissement fournisseur d’identités de disposer de statistiques sur la consultation des ressources parce qu’une fois l’authentification effectuée, les informations ne transitent plus par ses machines, tout se passe entre le fournisseur de services et l’utilisateur. En revanche, l’utilisation d’un reverse proxy pour gérer l’accès aux ressources électroniques (voir ci-dessus) génère un fichier de « logs » (traces) sur ce serveur. Si l’architecture mise en place instaure celui-ci en point de passage obligé pour tout accès à une ressource documentaire, le fichier retrace exhaustivement toute l’activité. Le travail d’analyse de cette activité s’avère complexe parce que les informations abondent, qu’il faut savoir les lire, les agréger, les classer et les interpréter.
Ces statistiques d’usage peuvent être organisées en fonction de catégories telles que le niveau (LMD, enseignant-chercheur…) ou la discipline (code SISE) si celles-ci existent bien dans l’annuaire qui sert de base à l’authentification et sont renseignées avec rigueur.

Les éditeurs délivrent des statistiques de consultation des ressources électroniques le plus souvent en respectant les préconisations de COUNTER.
Cependant, ces statistiques reposent toutes sur une logique IP. Il existe donc une discontinuité entre les statistiques provenant des éditeurs et celles produites localement à partir des fichiers de « logs », si l’accent est mis en local sur le profil des usagers. Une réflexion globale sur cette problématique permettrait sans doute d’aboutir à davantage de cohérence et de fiabilité.

Carole Letrouit, chargée de mission Couperin – accès distant, directrice du SCD Université Paris 8, 24 novembre 2009

Rapport du NISO en juin 2011

Un rapport du NISO est paru en juin 2011. Il présente ESPReSSO : Establishing Suggested Practices Regarding Single Sign-On, code qui s’efforce de promouvoir l’adoption de bonnes pratiques quant à l’accès aux ressources électroniques en utilisant, non pas des technologies nouvelles mais celles déjà existantes tout en préparant cependant le futur.
Ce rapport dresse un tableau des différents modes de contrôle d'accès à la documentation électronique (adresses IP, VPN, Proxy, comptes locaux, fédération) avec les avantages et inconvénients de chaque solution. Le document émet également des recommandations sur l'ergonomie pour l'authentification.

Le message passé est le suivant : tous les éditeurs devraient passer à la fédération d'identités à moyen terme mais il est nécessaire de gérer la période intermédiaire où fédération et contrôle par adresses IP doivent cohabiter.

Voici un extrait de la préface :

« Une solution transitoire doit être adoptée pour passer de la solution  hybride en cours aujourd’hui à une solution à long terme de réel accès par fédération d’identité. ESPReSSO propose des solutions pratiques, sans changement pour l’utilisateur final, afin d’améliorer l’authentification unique. ESPReSSO présente en particulier les meilleurs choix à effectuer en matière de méthodes d’authentification et veut rendre transparents les échanges d’informations entre le site du fournisseur d’identité et celui du fournisseur de service au moment de l’authentification. »