FLASH INFORMATIQUE FI



Comment marcher droits à l’EPFL ?


Description des droits actuels (état avril 2012) intégrés au système d’accréditation des personnes à l’EPFL.



Accreditation and current status (April 2012) of the associated rights at EPFL.


Laurence DENOREAZ-BUCLIN


Le système d’accréditation des personnes à l’EPFL permet aux individus accrédités d’avoir accès à diverses prestations fournies par des services de l’EPFL de manière contrôlée et sécurisée.
Les gestionnaires de prestations de l’EPFL, qui souhaitent en sécuriser l’accès, peuvent demander la création d’un nouveau droit au bureau Accred. Les applications informatiques associées à ces prestations transmettent au serveur d’authentification Gaspar la vérification du fait que le demandeur est bien titulaire du droit correspondant. Chaque droit bénéficie d’un profil par défaut et il est rattaché à un rôle (parfois deux) dans l’application ACCRED.


Liste des droits de l’accréditation en avril 2012

Pour attribuer un droit à une autre personne, il faut être titulaire du rôle auquel il est associé. Le détenteur d’un droit ne peut pas le déléguer.
Chaque titulaire d’un rôle dans l’application Accred bénéficie automatiquement des droits qui sont rattachés à ce rôle, sauf si le droit a été explicitement désactivé. Cette attribution peut se répercuter à partir du niveau le plus haut pour lequel il a été attribué, jusqu’à tous les sous-niveaux de l’arborescence de l’EPFL. La personne qui est titulaire du droit Billets CFF pour le niveau 1 EPFL, sera également titulaire de ce droit jusqu’aux unités de niveau 4 de l’Ecole (1 EPFL, 2 Faculté, 3 Institut, 4 Laboratoire).
Les droits permettent d’accéder à des prestations, ressources ou applications. Ils peuvent être de type administratif, logistique ou informatique. Certains droits laissent l’utilisateur autorisé accéder directement à une prestation donnée (imprimer, commander des cartes de visites, accéder à l’intranet, etc.), alors que d’autres (services réseau EPNET, création de comptes guest, etc.) autorisent le titulaire à créer et/ou gérer l’accès et des ressources pour d’autres personnes pas nécessairement connues de l’application ACCRED. Certains droits permettent encore de valider une commande (confirmdistrilog) ou de prendre l’identité d’une autre personne (substitutiondistrilog).
Prenons par exemple, le droit adminad qui permet à une personne de bénéficier d’une délégation d’administration sur une ou plusieurs unités organisationnelles dans le service d’annuaire Active Directory et qui est rattaché au rôle respinfo.


Droit : Administrateurs AD délégués

On remarque dans le tableau ci-dessus que le champ Description est un lien dynamique, qui redirige sur la page d’information de la ressource concernée. Les champs Attribution par défaut pour les statuts et Attribution par défaut pour les classes permettent de limiter son attribution en tenant compte du statut (personnel, hôte, hors-epfl, étudiant, etc.) et de la classe (apprenti, stagiaire, assistant, personnel technique ou administratif, etc.).

Les droits classés par thèmes

Gestion des accréditations et des accès

accreditation (Accréditation)
placé sous la responsabilité du rôle respaccred, il permet d’accréditer des personnes dans l’unité pour laquelle on est titulaire de ce droit.
adminroles (Attribution des rôles )
aussi rattaché au rôle respaccred, il permet la redistribution des différents rôles de l’accréditation à d’autres personnes.
admingaspar (Administration des comptes GASPAR)
dépendant des rôles respinfo et respaccred, ce droit permet de gérer les comptes Gaspar d’autres personnes (création du compte, mise à jour du mot de passe, etc.). Le compte Gaspar est utilisé par Tequila/Shibboleth  pour authentifier les utilisateurs de la plupart des applications Web à l’EPFL.

Active directory

adminad (Administrateurs AD délégués)
Lié au rôle respinfo, ce droit permet à une personne de bénéficier d’une délégation d’administration sur une ou plusieurs unités organisationnelles dans le service d’annuaire Active Directory . Plus d’infos à ce propos sur cette page.

Communication

gestionprofils (Gestion des profils personnels)
placé sous le rôle respcomm, il permet à son titulaire de gérer les profils d’autres personnes dans l’application people profil personnel.

Finances (respadmin)

controlesf (Contrôle des services financiers)
ce droit permet l’identification des utilisateurs SAP et le contrôle des flux pour le droit inventaire.
payonline (Mise à jour, activation de l’instance ou consultation des paiements enregistrés)
ce service met à votre disposition un canal d’encaissement électronique pour vos manifestations, conférences, vente de services, etc.

Gestion administrative (respadmin)

cartevisite (Cartes de visites)
ce droit permet de faire des commandes de cartes de visite en ligne pour les personnes de l’unité pour laquelle on en est titulaire. railticket (Billets CFF)
permet d’effectuer les commandes de billets CFF pour le personnel des unités sous votre contrôle d’accréditation.
inventaire
permet l’accès à l’application inventaire du CCSAP-OS.
shopepfl (Commande d’articles/produits internes EPFL)
permet de commander des produits dans la boutique du SHOP EPFL, située dans la librairie-papeterie La Fontaine au Rolex Learning Center.

Impression

myPrint ou impression (Droit d’imprimer sur le compte d’une unité)
l’objectif de cette prestation est d’homogénéiser le processus d’impression/copie à l’EPFL et d’introduire la comptabilisation.

Infrastructure

demdetrav (Demande de travaux)
ce droit est rattaché au rôle respinfra (Responsable infrastructures) permet d’enregistrer une demande pour des travaux de mise en oeuvre ou de modification d’installations liées aux bâtiments, pour des prestations (sécurité, signalisation, etc.) et des commandes de mobilier.
ficheporte (Fiches de portes)
permet aux COSEC de créer des fiches pour l’unité / les unités dont ils sont responsables.

Logiciels

confirmdistrilog (Validation de commandes de logiciels soumis à autorisation)
dépendant du rôle respadmin, ce droit est réservé aux Validateurs dans Distrilog, dont la mission est de vérifier que la demande de logiciel coûteux qui a été soumise est dûment légitimée. Un justificatif le plus détaillé et le plus clair possible doit être rédigé. Les demandes, transmises par courriel, seront alors soit acceptées, soit refusées par la personne choisie pour la validation.
distrilog (Accès au service distrilog)
ce droit, lié au rôle respinfo, est réservé exclusivement aux personnes accréditées avec le statut personnel pour des raison de licences conclues entre les fournisseurs de logiciels et l’EPFL. Pour les personnes externes à l’EPFL et accréditées avec un statut hôte, c’est le responsable informatique de l’unité qui installe les logiciels nécessaires au travail de la personne sous son propre nom et qui les désinstalle du poste informatique au départ de la personne. Les demandes d’exception pour obtenir le droit distrilog doivent être envoyées à l’adresse de courriel, qui évaluera et validera ou refusera la demande le cas échéant.
Tout logiciel fourni par Distrilog ne peut être installé que sur des machines dûment enregistrées dans l’inventaire. Il existe quelques exceptions qui permettent d’installer un logiciel sur une machine privée, mais cela est autorisé pour autant qu’il y ait eu une installation préalable sur une machine de L’EPFL (avec no d’inventaire).
substitutiondistrilog (Droit de suppléance pour la gestion des logiciels)
ce droit, en test, est rattaché au rôle respinfo. Il permet à son titulaire de gérer les logiciels pour une autre personne, qui doit elle-même bénéficier du droit distrilog et du statut personnel, en prenant son identité pour une unité donnée.

Machines Virtuelles

demvm (Demande d’hébergement de machines virtuelles)

le DIT met à disposition des services centraux et des facultés de l’École un service d’hébergement de machines virtuelles. Les personnes autorisées peuvent accéder à la gestion des VM pour demander de nouvelles machines virtuelles ou des modifications des caractéristiques des machines existantes, ainsi que consulter et modifier les demandes en cours.

Sécurité informatique

admindiode (Administration des accès DIODE)
placé sous le rôle respinfo, ce droit permet de renforcer la sécurité du réseau de l’EPFL en fermant l’accès depuis l’extérieur aux machines clientes et en restreignant le nombre de serveurs visibles de l’extérieur.

Réseau informatique (respinfo)

intranet (Accès Intranet)
permet d’accéder au réseau interne de l’EPFL.
smssmtp (Envoi de SMS par email)
service réservé aux systèmes d’alarme de serveurs et et aux autres services d’alerte nécessitant une passerelle email.
smsweb (Envoi de SMS par le Web)
permet aux personnes bénéficiant du statut personnel de l’EPFL d’envoyer des SMS à but professionnel via une Interface Web conviviale. L’authentification se fait par Tequila (avec mot de passe GASPAR) et un quota mensuel permet d’éviter tout abus.
sre (Services Réseau EPNET)
permet d’accéder et de gérer des services réseau de base, tels les demandes de raccordements informatiques d’adresses IP, etc.
vpnguest (Accès Réseau pour Hôtes)
permet d’octroyer aux visiteurs de courte durée sur le campus un accès temporaire à Internet à l’EPFL.

Pour toute demande d’information complémentaire concernant ces différents droits, nous vous prions d’envoyer un email à cette adresse

Références

  • ECOLE POLYTECHNIQUE FEDERALE DE LAUSANNE. Active Directory. Site de la Faculté des Sciences et Techniques de l’Ingénieur STI. en ligne. (consulté le 15 avril 2012).
  • ECOLE POLYTECHNIQUE FEDERALE DE LAUSANNE. ACCRED. Site de l’accréditation en ligne. (consulté le 15 avril 2012).
  • ECOLE POLYTECHNIQUE FEDERALE DE LAUSANNE. Domaine IT. DIT. Site du DIT-EPFL en ligne. (consulté le 15 avril 2012).
  • LECOMMANDEUR, Claude. Tequila aime Shibboleth. Flash Informatique en ligne. 2006, FI 1/06. (consulté le 15 avril 2012).




Glossaire

Active directory :
méta annuaire intégré dans Windows 2000, 2003 et Windows XP, qui permet de référencer et d’accéder à un ensemble des ressources suivantes : usagers, partage de fichiers, imprimantes et ordinateurs.
COSEC :
correspondant en sécurité de l’EPFL.
Gaspar :
coffre fort des mots de passe du système d’identification et authentification de l’EPFL.
Tequila/Shibboleth :
Tequila et Shibboleth sont deux outils d’authentification et de contrôle d’accès ayant des fonctionnalités similaires. Tequila a été développé à l’EPFL alors que Shibboleth est un produit du projet Internet2. Ces deux outils permettent d’authentifier des utilisateurs d’applications Web, de contrôler l’accès de ces utilisateurs ainsi que d’obtenir des informations sur ces mêmes utilisateurs, et ceci dans un environnement fédéré.


Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.