Distribution EOLE » Outils Eole » SSO » EoleSSO

fonctionnement retenu:

un peu à la façon des attributs calculés, il est possible d'ajouter des sources d'attributs externes pour la fédération dans le répertoire /usr/share/sso/external_attrs.

Chaque fichier doit comporter une classe ExtAttr comportant une fonction get_local_attrs(values). Celle-ci prend en paramètre la liste des valeurs de l'attribut externe (définies dans la réponse SAML initiant la fédération) et renvoie un dictionnaire d'attributs (clé:valeurs).

le nom du fichier (sans .py) définit le nom de l'attribut 'externe'. Lors d'une fédération, si un attribut correspondant à un de ces fichiers est reçu dans le vecteur de fédération, eolesso va appeler la fonction get_local_attrs et fusionner les attributs retournés aux attributs du vecteur de fédération.

voir l'exemple fourni en pièce jointe dans le cas d'une fédération depuis le guichet ATEN.

Dans cet exemple, une base de données FrEduVecteur -> intid est créée au préalable depuis les données de l'annuaire fédérateur (script lancé journalier sur Seshat).

- Si l'utilisateur est un responsable d'élèves, L'attribut externe (FrEduVecteur) va renvoyer l'identifiant ENT (intid) correspondant, ainsi que la liste des établissement associés (en tant que nouvel attribut: ENTStructRattachId).
- Dans le cas d'un élève, intid et son établissement de rattachement sont directement pris dans le vecteur.

Le jeu d'attribut suivant est défini (teleservices.ini) et associé au fournisseur d'identité du guichet ATEN. Il permettra de retrouver l'utilisateur une fois intid récupéré et de lui associer la liste des établissements de l'utilisateur :

[user_attrs]
intid = intid  --> le fournisseur d'identité fournira donc FrEduVecteur, intid sera calculé
                   avant la recherche de l'utilisateur dans le référentiel du fournisseur de service.

[optional]
ENTStructRattachId = ENTStructRattachId  --> attributs ajoutés aux attributs ldap de l'utilisateur local trouvé.

Ces informations permettront ensuite de proposer à l'utilisateur le choix de l'établissement sur lequel il veut se connecter par l'intermédiaire de l'application dispatcher.

Rqe: Dans le cas d'un parent d'élève accédant à Seshat par fédération depuis le guichet ATEN, on utilisera sur seshat un seul des comptes correspondants (un parent peut en avoir dans plusieurs établissements), mais on conservera la liste de tous les établissements accessibles. Le fait que l'attribut intid soit identique sur tous les établissement permettra d'accéder à n'importe lequel de ses comptes par fédération après choix de l'établissement à atteindre.

Après éclaircissements de Christophe sur la question des responsables, il semble qu'on ne puisse pas compter sur l'attribut intid pour les retrouver sur l'ensemble des établissements (il semble qu'ils possèdent un intid spécifique par établissement).

Il faut envisager une autre solution pour retrouver faire la fédération vers l'établissement. Quelques pistes:

- trouver un autre vecteur de fédération qui soit identique sur tous les établissements.
- avoir un mécanisme dans eolesso qui permette à l'utilisateur de choisir un établissement lors de la fédération sur seshat (intégrer le dispatcher dans eole-sso)
- autre ?