Copyright 2010 © Consortium ESUP-Portail
ESUP-Days 10, Paris, 2 juillet 2010
ESUP-FWAConnexion simplifiée à Apogée &
Harpège via l'ENT
Cédric ChampmartinOlivier Ziller
Copyright 2010 ©
Plan
• Problématique
• La solution proposée par ESUP-FWA
• Architecture technique globale
• Démonstration
• Stratégie de provisioning à Nancy 2
Copyright 2010 ©
Problématique
• Livraison d’Apogée et Harpège Web par l’AMUE– Fonctionne sous Oracle 10gAS– Utilise son propre annuaire (OID) pour gérer les accès– Cassification avec création automatique de RAD entries
dans OID• Login LDAP• Username Oracle• Password Oracle• SID Database Oracle• ID Application 10gAS
Clef primaire
Copyright 2010 ©
Problématique
• A un utilisateur et une application ne peut être associé qu’un seul user Oracle
• Dans les applications Apogée et Harpège, c’est le user Oracle qui détermine les droits (administrateur, accès à telle composante…)
• Or, concrètement, certains personnels ont besoin d’être associés à plusieurs users Oracle selon leur activités
Copyright 2010 ©
Problématique
• Solutions pour contourner ce problème– Créer autant d’application 10gAS qu’il y a de
possibilités qu’un utilisateur ait besoin d’être associé à des user Oracle différents (sur Apogée, potentiellement le nombre de CGE dans l’établissement!) -> Pénible pour l’exploitant!
– Demander à l’utilisateur de « jongler » avec ces RAD entries : suppression et recréation selon les besoins -> Pénible pour l’utilisateur!
Copyright 2010 ©
Problématique
• La portlet FWA diffusée par l’AMUE ne résolvait pas ses problèmes.
• Il fallait toujours communiquer les mots de passe Oracle aux utilisateurs pour qu’ils puissent créer les RAD entries lors de leur première connexion (problèmes de sécurité)
• L’écran de saisie des informations Oracle n’était pas simple à comprendre par les utilisateurs
• La correction des bugs de cette portlet tardait à venir
Copyright 2010 ©
Solution proposée par ESUP-FWA
• Principes fondateurs– Simplifier la vie de l’utilisateur– Améliorer la sécurité
• Simplifier la vie de l’utilisateur et de l’exploitant– Gestion des multi-comptes Oracle de manière transparente
• Améliorer la sécurité– L’utilisateur n’a plus connaissance de ses mots de passe
Oracle– L’accès aux bases test est mieux contrôlé
Copyright 2010 ©
Solution proposée par ESUP-FWA
• Fonctionnement– L’équivalent des RAD entries sont saisies par
l’administrateur de l’application AMUE et stockées dans une base propre à ESUP-FWA
– Les utilisateurs ne peuvent se connecter que si ces informations sont préalablement saisies
– ESUP-FWA génère dynamiquement la RAD Entry Oracle au moment de la connexion
Copyright 2010 ©
Solution proposée par ESUP-FWA
• Base de données– Chaque environnement (Apogée, Apotest ,
Harpège, Harptest…) correspond à une application– Chaque application a une url de connexion
• L’accès à un domaine se fait en ajoutant l’url qui lui est spécifique
Copyright 2010 ©
Solution proposée par ESUP-FWAApplications
Domaines
Copyright 2010 ©
Solution proposée par ESUP-FWA
• Création d’un utilisateur – Insertion dans la base MySQL et dans l’annuaire Oracle
• Création d’un compte – Uniquement dans la base MySQL– L’annuaire n’est impacté qu’au moment de la connexion (suppression/création de la RAD entry)
• Suppression (utilisateur/compte)– Suppression dans la base MySQL et dans l’annuaire Oracle
Comptes Oracle
Copyright 2010 ©
Architecture technique globale
1. Suppression/insertion de la RAD entry
2. Connexion au serveur Apogée/Harpège cassifié
Copyright 2010 ©
Démonstration
Suite
Copyright 2010 ©
Démonstration
Copyright 2010 ©
Démonstration
Copyright 2010 ©
Démonstration
Copyright 2010 ©
Démonstration
Copyright 2010 ©
Démonstration
Copyright 2010 ©
Démonstration
Copyright 2010 ©
Stratégie de provisioning à Nancy 2
• Provisioning = alimentation de la base ESUP-FWA
• Reprise de l’historique Apogée / Harpège– L’occasion de faire le nettoyage dans les comptes– Regénération automatique des mots de passe dans
les bases Apogée et Harpège et alimentation parallèle de la base ESUP-FWA (utilisation de Talend Open Studio)
Copyright 2010 ©
Stratégie de provisioning à Nancy 2
• Pour la gestion des comptes au quotidien, une étape supplémentaire pour l’administrateur des applications AMUE– Gestion des accès dans ESUP-FWA
• Bilan au bout de 6 mois– Plus aucun problème d’accès aux
applications AMUE signalé par les utilisateurs
Copyright 2010 ©
Site web du projet
• http://www.esup-portail.org/display/PROJESUPFWA/Esup-fwa– Documentation d’installation– Documentation d’utilisation– Téléchargement
Copyright 2010 © Consortium ESUP-Portail
Questions / Réponses