Utiliser le serveur CAS de son ENT

(actualisé le ) par Julien Delmas

Objectifs

L’intérêt principal d’utiliser le serveur CAS de son ENT est de profiter d’une authentification unique (en anglais Single Sign-On : SSO) dans le maximum d’outils. Par exemple, un utilisateur pourra se connecter à l’espace privé du site SPIP de son établissement à l’aide de l’identifiant et du mot de passe de son ENT. Il pourra en faire de même pour Moodle, Chamilo, un Wiki...

Principes de fonctionnement

Lorsqu’un utilisateur souhaite s’authentifier sur un outil (l’espace privé d’un site SPIP par exemple), il est redirigé vers le formulaire d’authentification de son ENT. Une fois le formulaire complété et envoyé, plusieurs vérifications sont effectuées entre le client et le serveur CAS, puis une ou plusieurs informations sont renvoyées à l’application demandeuse (par exemple le nom d’utilisateur ou un identifiant unique).

L’application (par exemple SPIP) va comparer le nom d’utilisateur retourné par le serveur CAS avec celui de sa base de données. SPIP autorisera alors ou pas l’accès avec les droits qui auront été définis préalablement par l’administrateur.

Limites du CAS

Suivant la version de CAS utilisée par le serveur et le client et la configuration du serveur, les données retournées sont plus ou moins pertinentes et nombreuses. Par exemple, certains ENT ne renvoient que le nom d’utilisateur "pierre.dupont" (comme EducHorus), d’autres renvoient un numéro interne "09789778657" (comme Lilie), d’autres encore renvoient le nom d’utilisateur, le profil (élève/professeur), les classes rattachées...

Il est donc fortement conseillé d’avoir auparavant importé les données des utilisateurs dans l’application. Par exemple, on importe dans SPIP une liste CSV contenant identifiant, prénom, nom, statut de tous les utilisateurs qui doivent accéder à cette application.

Quelles applications ?

De très nombreuses applications sont compatibles CAS ou peuvent le devenir assez facilement. On trouve par exemple :

Paramétrages

Les paramétrages suivants sont à renseigner dans l’application (client CAS) qui demande l’authentification auprès du serveur CAS de l’ENT.

- Anper95 (iTop NetCollège - Val-d’Oise)

  • url : ent95.valdoise.fr
  • répertoire : /cas/
  • port : 443
  • données renvoyées : identifiant interne à l’ENT (ID_ENT, exemple : 00d5d705-1625-49eb-9970-f83e7d6a1aff)
  • exportation des comptes utilisateurs : en administrateur, menu "Administration", "Gérer les utilisateurs", puis "Outils", "Traitements de masse" et "Export des comptes", choisir "Exportation SSO Moodle" et le profil désiré.
  • Conditions de fonctionnement : il faut autoriser l’application dans le serveur CAS (demande à faire auprès du support technique : support@netcollege.fr)

- EducHorus

  • url : educhorus.enteduc.fr
  • répertoire : /[code_UAI]/cas/
  • port : 443
  • données renvoyées : nom d’utilisateur (exemple : pdupont)
  • exportation des comptes utilisateurs : en administrateur, menu "Applications" et "Export des comptes"
  • Conditions de fonctionnement : aucune, fonctionne parfaitement et immédiatement sans autorisation.

- ENC92 (iTop NetCollège - Hauts-de-Seine)

  • url : www.enc92.fr
  • répertoire : /cas/
  • port : 443
  • Conditions de fonctionnement : il faut autoriser l’application dans le serveur CAS (demande à faire auprès du support technique)

- Lilie (OpenENT)

  • url : ent.iledefrance.fr
  • répertoire : /connexion/
  • port : 443
  • données renvoyées : identifiant interne à l’ENT (ID_ENT, exemple : 00898027)
  • exportation des comptes utilisateurs : dans la console administrateur, menu "Services", "Ressources", choisir le service (auparavant activé) "Paraschool", choisir le profil cliquer sur "Export"
  • Conditions de fonctionnement : il faut autoriser l’application dans le serveur CAS. Pour cela, dans la console admin : Services \ Ressources \ Ressources numériques \ Ajouter une ressource et ajouter l’adresse du l’application web concernée