Envole » Envole-Mutualisé » eole-dispatcher

h1. eole-dispatcher

+*Pré-requis*+

* Mettre en place la [[fédération SAML entre Seshat et vos Scribes]]

* Vos Scribes sont alimentés avec des extractions AAF EXCLUSIVEMENT

* L'annuaire de vos Scribes est répliqué sur le Seshat

eole-dispatcher est une application qui permet de rediriger l'utilisateur sur son portail (Envole) établissement.

Il est prévu également pour gérer le cas de la multi-affectation pour les *enseignants* et les *parents*.

Ainsi un enseignant qui auraient des services sur plusieurs établissements se verraient proposer le choix de l'établissement sur lequel il souhaite se connecter.

De même pour un parent d'élève qui aurait plusieurs enfants dans des établissements différents se choix lui sera proposé

Il est à noté que la problématique de la multi-affectation pour un élève ne se pose pas, puisque ce dernier ne peut pas être scolarisé dans deux établissements

Je parlerais ici du terme affectation au sens large, une affectation est pour moi (dans ce document) l'appartenance, d'une personne à un établissement.

Je souligne également que dans ce scénario d'authentification, il est *nécessaire* de mettre en place la *fédération de Seshat vers FIM-AGENT et FIM-TS*, si l'on souhaite utiliser Seshat comme seul portail d'authentification

eole-dispatcher est capable (au travers de ces filtres d'attributs) de gérer les sources d'authentification suivantes :

* LDAP Académique pour les agents de l'éducation National

* LDAP Téléservices pour les parents et élèves

* LDAP local (Réplicat des scribes) pour l’authentification des élèves et parents (si les téléservices ne sont pas déployés)

h2. Fonctionnement

Le dispatcher est a installer sur seshat, afin d'utiliser le portail EoleSSO de seshat comme portail unique d'authentification vers les ENT (Envole)

L'installation du dispatcher va mettre en place sur le serveur sso les filtres d'attributs nécessaires afin de rediriger correctement la personne

/usr/share/sso/app_filters/dispatcher.ini

    @[user]

rne=ecs_rne	

user=uid

uid=uid

source=SourceAuth	

FederationKey=DispatcherKey

displayName=displayName

profils=DispatcherProfils

auth=auth@

l'attribut calculé ecs_rne, va permettre de récupérer les codes rne en fonction des établissement d'affectation de la personne.  

Lors de la connexion d'une personne eole-dispatcher va prendre tous les RNE reçu de EoleSSO et présenter tous les liens de fédération pour l'accès aux portails Envole lui concernant.

Une Url de fédération ressemble à cela

    @https://seshat.ac-academie.fr/saml?sp_ident=<id_fs>&RelayState=https://<URL_DU_PORTAIL_ETABLISSEMENT>@

A la vue de cette url, plusieurs questions se posent

# Comment eole-dispatcher récupère le *id_fs* pour un rne donné

# Comment eole-dispatcher récupère l' *URL_DU_PORTAIL_ETABLISSEMENT* pour un rne donné

h3. id_fs 

D'après la documentation http://eoleng.ac-dijon.fr/documentations/2.3/partielles/PDF/EoleSSO.pdf (Chapitre 4, page 27)

    @id_fs est soit l'identifiant du fournisseur de service (entityID tel que défini dans son fichier de méta

données), soit le nom de son fichier de méta données placé dans /usr/share/sso/metadata (sans l'extension

.xml).@

Nous avons donc fait le choix (par simplicité) de nommer le fichier metadata de nos entités partenaires (Serveur Scribe des établissements) par <rne>.xml

du coup le id_fs n'est c'est le code rne de l'établissement

h3. URL_DU_PORTAIL_ETABLISSEMENT

EoleSSO, va générer a chaque redémarrage du serveur eole-sso un fichier dans edispatcher/utils/etabs.ini qui va contenir les entrées nécessaires pour chaque établissement

    @[9740091F]

libelle = COLLEGE LECONTE DE LISLE

portail = https://portail.college-lecontedelisle.re

...

@

Ces entrées sont récupérées de Zephir, il est donc nécessaire que les serveurs Scribe soient enregistrés sur Zephir; Si ce n'est pas le cas, il vous faudra générer ce fichier à la main.

h3. *aucun portail trouvé*

Le message d'erreur s'affiche

!edispatcher_erreur_portail.png!

cela signifie que dans votre  edispatcher/utils/etabs.ini il n'y a pas de section pour le code Rne

h2. Différents portails pour Arnea en fonction de la zone

Comme je l'avais mentionné plus haut, eole-dispatcher est utilisé chez nous comme portail d'authentification unique, également pour l'accès aux portail Arena

Hors, la ou cela se complique, c'est qu'il peut y avoir plusieurs portails en fonction de l'endroit où se trouve l'utilisateur, par exemple dans l'académie de la Réunion

il existe au moins trois portails d'accès aux application Arena : 

* portail.ac-reunion.fr (accessibles en externe)

* scoens.ac-reunion.fr (depuis le réseau pédagogique des établissements)

* scoweb.ac-reunion.fr (depuis le réseau administratif)

chaque portail en fonction de sa zone de confinement ne présentera pas les mêmes ressources, et l'obligation d'une clef OTP sera différente

+*Exemple*+

scoweb.ac-reunion.fr , offre accès a la ressource SIECLE , tandis que portail.ac-reunion non

il faut donc permettre aux utilisateurs d'être sur le bon portail en fonction de la zone ou ils se trouvent,

le dispatcher le permet..

En effet, une fonction (GetPortailHost)  dans le fichier edispatcher/inc.php  permet en fonction de l'adresse IP du client de redirigé vers le bon portail

Ces différentes association <RESEAU>/<PORTAIL> est définie dans utils/portails.ini

Un exemple d'utilisation de ce fichier est présent dans utils/portails.ini.sample

    @

[172.16.0.0]

mask=13

portail="scoens.ac-reunion.fr"

arena="rev-proxy-peda"

[172.31.190.64]

mask=26

portail="portail.ac-reunion.fr"

arena="rev-proxy-id"

[172.31.16.0]

mask=16

portail="portail.ac-reunion.fr"

arena="rev-proxy-id"

[10.205.0.0]

mask=16

portail="scoweb.ac-reunion.fr"

arena="rev-proxy-agr"

@

Dans cet exemple tout utilisateur avec une adresse IP dans le réseau 10.205.0.0/16 , se verra présenter  l'url du portail académique sera https://scoweb.ac-reunion.fr

La variable arena, permet de spécifier la zone cleartrust associée au portail (Utilisé si vous souhaitez intégrer les ressources Arena dans le bureau Envole : https://envole.ac-dijon.fr/wordpress/2014/02/19/integration-de-arena-dans-le-bureau-envole

La récupération de l'IP du client se base sur le champ HTTP_X_FORWARDED_FOR des headers http