Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Séminaire Aristote

Sécurité et Mobilité

Retour sur les déploiements eduroam et

Fédération Éducation/Recherche

7 février2013

Agenda

• La communauté RENATER

• L’offre de service

• La mobilité numérique avec la Fédération Éducation/Recherche

• La mobilité réseau avec eduroam

• Conclusion

La communauté RENATER

La communauté des utilisateurs 1/2

Le BRGM : Bureau de la Recherche Géologique et Minière Le CEA : Commissariat à l’Energie Atomique

IRSTEA : Institut National de Recherche en Sciences et Technologies pour l’environnement et l’agriculture

Le CIRAD : le Centre de coopération Internationale en Recherche Agronomique pour le Développement

Le CNES : Centre National d’Etudes Spatiales

Le CNRS : Centre National de la Recherche Scientifique La CPU : La Conférence des Présidents d’Université L’INRA : Institut National de la Recherche Agronomique

INRIA : Institut National de Recherche en Informatique et Automatique L’INSERM : Institut National de la Santé et de la Recherche Médicale L’IRD : Institut de recherche pour le développement

Le Ministère de l’Education nationale : Ministère de l’Education nationale

Le Ministère de l’Enseignement Supérieur et de la Recherche : Ministère de l’Enseignement Supérieur et de la Recherche

L’ONERA : le centre français de recherche aérospatiale

La communauté des utilisateurs 2/2

Etablissements d’enseignement ou de recherche relevant d’autres tutelles (industrie, culture, agriculture, défense …)

Fondations impliquées dans la recherche (Institut Curie, Institut Pasteur …)

Grands établissements (CSI, IRCAM …)

…

⇒ 1400+ sites

⇒ 2+ Mutilisateurs

L’offre RENATER

6

L’ offre RENATER

Une infrastructure réseau

Un portefeuille de services pour l’enseignement et la recherche

• Services réseaux

• Services applicatifs

• La sécurité

Quelques chiffres

Une couverture réseau complète

• 11 900 km de fibre optiques, 72 points de présence (NR)

• Réseau: 125 longueurs d’onde 10G

• Trafic: connectivité extérieure cumulée de près de 200Gbit/s, 100+Po échangés avec l’extérieur en 2012

• 1400+ prises en France métropolitaine et DOM/TOMs Des services très utilisés

• 10 000 certificats électroniques délivrés au total

• 30 000 appels téléphoniques/an

• Antispam pour 800 000 comptes de messagerie, 2 000 000 d’emails filtrés par jour

• Accès WIFI eduroam : plus de 150 établissements opérationnels, 50 000 requêtes/jour en France

• Près de 20000 visioconférence RMS et EVO par an

• Le service de listes de diffusion Universalistes : 400 000 abonnés

QoS

IPv4

IPv6

Multicast

Lambda 10GE L2VPN

L3VPN DNS

Allocation IP

Réseau Voix et images

EVO

H323

ToIP

Circuits

Gatekeeper

MCU

IPBX Mobilité

eduroam

Eduspot

802.1X Wi-Fi

Sécurité

CERT

Certificats serveurs

Certificats de

personne TCS

Middleware Applicatifs

Universalistes

SourceSup

Sympa

Metaliste Fédération Education-

Recherche

Edugain SAML

Shiboleth Anti-spam

Anti-virus

Sécurité

La mobilité numérique :

La Fédération Education/Recherche

10

Le contexte :

Le paysage de l’enseignement supérieur et de la recherche se consolide

Les réseaux autorisent désormais l’accès massif aux ressources distantes

De plus en plus d’utilisateurs utilisent les services de plusieurs organisations

Offres de services mutualisées de plus en plus nombreuses (PRES, UNR, …)

De plus en plus de mutualisations au niveau national

⇒ Comment passer à l’échelle pour

l’authentification et l’accès ?

La Fédération Education-Recherche

Infrastructure nationale Pour authentification web

Mécanismes de fédération d’identités Utilisant le logiciel Shibboleth

Implémente le protocole SAML

Fédération / comment ça marche ?

Fédération / précisions

Les mots de passe ne circulent pas

Juste une preuve d

authentification

Authentification ET attributs utilisateurs

Utiles pour contrôle d

accès et personnalisation

On ne réinvente rien

Branchement CAS et LDAP

On est interopérable

Protocole SAML

On contrôle les échanges

On peut restreindre le cercle de confiance

Les comptes CRU

Comptes Réseaux Universels

IdP ouvert à tous les utilisateurs :

Création du compte en quelques minutes Sans formalités

Ne nécessite qu’une adresse électronique valide

Permet d’accéder aux (nombreux) services qui les acceptent

Mais …

Pas de vérification de l’identité

Ressources documentaires E-learning

Accès Wi-Fi

Applications métier mutualisées

Applications et services nationaux (dont RENATER) Extranet

Distribution de logiciels

…

Fédération / Pour faire quoi ?

Fédération / Qui l ’ utilise ?

En France

169 fournisseurs d’identités 337 ressources enregistrées

Des ressources locales non enregistrées

RENATER

Migration progressive de tous les services (portails, visio, groupware …) vers une authentification fédérée

Dans d'autres pays

https://federation.renater.fr/docs/autres_federations Interopérables dans le cadre du projet européen

eduGAIN

Initiative européenne d’inter-fédération

Ouverte aux fédérations non européennes

Favorise l ’ échange et l ’ accès à des ressources internationales

Norme SAML 2

Fédération Education-Recherche en cours

d’intégration (cible mi 2013)

Etat du déploiement dans le monde (février 2013)

Fédération / sujets en cours …

Amélioration d’ergonomie à apporter

Intégration en mode SSO dans les ENT

Qualité des référentiels d’identité utilisés pour les IDP

En liaison avec l’activité SupAnn de normalisation des annuaires de la communauté E/R

Concentration des risques sur les IDP (identity provider)

Développement d’IDP avec authentification multi-facteurs

Extensions internationales : eduGAIN

La mobilité réseau :

21

Le contexte :

Différentes opérations nationales

ont développé l’utilisation du WIFI pour les étudiants, les chercheurs et les personnels

L’utilisation d’un ordinateur portable pendant les réunions est désormais banalisé

(y compris pour le chat en support de la visio)

Les collaborations entre établissements se multiplient, les personnels se déplacent …

Les cursus communs se multiplient, les étudiants se déplacent …

⇒ Comment fournir l’accès WIFI partout et pour tous sans multiplier l’effort correspondant ?

eduroam pour l ’ utilisateur E/R

C ’ est une connexion Wi-Fi

Sécurisée (802.1x)

Utilisable dans son établissement d’origine Utilisable dans d’autres établissements

Utilisable à l’étranger

Saisie de son login habituel Configuration initiale du client (PC/mac/tablette/smartphone …)

eduroam en 1:31 min

www.eduroam.org

http://vimeo.com/32210851

eduroam / où l ’ utiliser ?

>150 établissements français membres

~300 sites déclarés

100.000 logins inter-etab en octobre 2010

Europe

36 pays couverts

800+ organisations membres 4500 sites déclarés

Monde

54 pays

Près de 6000 sites

eduroam / où l ’ utiliser ?

>150 établissements français membres

~300 sites déclarés

100.000 logins inter-etab en octobre 2010

Europe

36 pays couverts 800+ org membres 4500 sites déclarés

Monde

54 pays

Près de 6000 sites

eduroam / qui fait quoi ?

L’infrastructure internationale

Europe, USA, Canada, Asie

Serveur radius racine

Organisation financée par l’UE dans le cadre du projet GN3

eduroam en France

Opéré par RENATER

Un service radius proxy national (redondé)

Les établissements

Opèrent un serveur radius pour leurs utilisateurs Proposent des points d’accès Wi-Fi

eduroam / comment ça marche ?

eduroam.fr

eduroam.de univ-xx.de univ-xx.fr crous

radius

référentiel utilisateurs

chiffré 802.1x

Radius

eduroam / utilisation en mobilité

Accès inter-établissement par minute

Augmentation visible sur 12 mois

eduroam / sujets en cours …

Homogénéité des protocoles d’authentification 802.1x

Co-existence (ou pas) de TTLS et PEAP sur les sites En cours d’harmonisation

⇒ http://www.eduroam.fr/monitoring/monitoring.html

Configuration des postes clients

Déploiement imminent d’un service de configuration au niveau européen

⇒ https://cat-test.eduroam.org/

Filtrages mis en œuvre sur les accès eduroam

Préconisation pour les sites

⇒ https://services.renater.fr/ssi/_media/cert/pf-wifi-v6-1f.pdf

Extension d’eduroam vers des réseaux d’opérateurs Support à l’utilisateur

To do (better)

Bonus !

L’accès réseau nomade grâce à la Fédération Education/Recherche

31

eduspot … pourquoi ?

eduroam ne répond pas à 100% des besoins Situation selon les établissements

eduroam pour tout le monde

eduroam pour enseignants et personnel Pas d’eduroam

Les autres solutions Wi-Fi

De type portails captifs Authentification

locale (LDAP, CAS) fédérée (Shibboleth)

Fonctionnement

fournisseur d’’’’identités univ-xx.fr

Portail

+ SP Shibboleth Non chiffré

fournisseur d’’’’identités Univ-yy.fr

eduroam eduspot

Sécurité Flux radio chiffré (802.1x) Flux radio non chiffré

Authentification EAP / Radius (via proxies éventuellement) Fédération d’identités (échange direct utilisateur IdP)

Configuration Configuration du poste utilisateur Aucune (lancement navigateur)

Contraintes

architecture Serveur radius + raccordement au proxy Portail + white list + SP Shibboleth

Ergonomie Transparent (modulo profil standard) Pas de configuration du poste. Plusieurs clics. Partage session ENT

Couverture Internationale (arbre) Nationale (cercle de confiance)

Comptes invités Envisageable Envisageable

vs.

Principaux enseignements

Pour les services à l’utilisateur final, le passage à l’échelle dans la communauté E/R nécessite une organisation répartie La publicité du monitoring des services distribués favorise l’implication des acteurs locaux

L’accompagnement de l’utilisateur final reste un défi à relever à tous les niveaux

Le contexte (plateformes collaboratives, visio, BYOD, équipes réparties, services mutualisés …) et plus que jamais

demandeur d’outils pour la mobilité.

Dès les freins techniques levés, l’adhésion à ces services est toute naturelle pour les utilisateurs !

Merci de votre attention !

www.renater.fr