FLASH INFORMATIQUE FI



GASPAR et les droits d’accès aux prestations sécurisées




Jean-Jacques DUMONT

Ion CIONCA


Pourquoi ?

Le principal rôle de GASPAR (http://gaspar.epfl.ch) est de répondre aux besoins d’identification et d’authentification des personnes de l’EPFL dans le cadre du développement galopant de son Intranet (voir Vers un Intranet pour l’EPFL par J.-J. Dumont, Flash Informatique 7-97). Cette fonction généraliste peut être utilisée pour contrôler les accès à toute prestation sécurisée offerte par le SIC ou d’autres services à une population restreinte (voir GASPAR par Ion Cionca, Flash Informatique 8-99).

Comme GASPAR est en train de devenir un passage obligé pour ce type de prestations/services, la notion de droits d’accès à une prestation a été introduite, avec tout ce qui suit comme la gestion de ces droits, les responsables, etc.

Droits d’accès

Pour que vous puissiez accéder à une prestation/service sécurisé, vous devez remplir les conditions suivantes :

  • être client GASPAR
    sinon identifiez-vous sur OSCAR à l’aide de votre carte CAMIPRO (les détails de la procédure se trouve sur gaspar.epfl.ch lui-même)
  • avoir une adresse mail à l’EPFL
    pour cela, utilisez les fonctions correspondantes de GASPAR (détails sur gaspar.epfl.ch)
  • être rattaché auprès d’une unité de l’école
    actuellement, contactez le service téléphonique (111) ou le service académique (pour les étudiants)
  • avoir le droit d’accès
    demandez les droits d’accès au responsable du service de votre unité (si bien sûr la prestation n’est pas ouverte).

Dans chaque unité, le responsable de prestation/service est nommé par l’administrateur GASPAR de l’unité pour un service donné. Son rôle est de gérer les contrôles d’accès à la prestation pour le personnel de l’unité.

Une prestation/service peut être à accès :

  • ouvert - accès permis à tous les clients GASPAR sauf si le droit est revoqué par le responsable du service
  • restreint - accès donné par le responsable du service de l’unité

L’accès à une prestation/service peut être à durée illimitée (aussi longtemps que toutes les conditions ci-dessus sont remplies) ou à durée fixe (1, 3, 6 ou 12 mois).

Le responsable du service de l’unité peut donner ou révoquer le droit d’accès à la prestation d’une manière globale, à tout le personnel de l’unité, ou individuellement, à une seule personne.

Pour préciser les différents rôles (chef d’unité, administrateur d’unité, responsable de service/prestation) :

  • l’administrateur GASPAR d’unité est nommé par le chef de l’unité ; un même administrateur peut être amené à gérer plusieurs unités ; pour les étudiants, les sections sont assimilées à des unités, et il revient au chef du département de nommer l’administrateur (en général, il s’agira du DDI) ;
  • l’administrateur GASPAR de l’unité nomme un ou plusieurs responsables de services en précisant les unités et les prestations contrôlées, en utilisant le menu autorisations d’accès de GASPAR ; cette fonction peut être également révoquée par l’administrateur GASPAR de l’unité ;
  • le responsable de services/prestations gère les droits d’accès des personnes de son unité aux prestations dont il a la responsabilité

L’exemple du service distrilog (service de contrôle des accès aux logiciels)

  • distrilog est une prestation sécurisée qui utilise GASPAR pour l’identification et l’authentification ;
  • l’accès à distrilog est ouvert (il n’y a pas de contrôle spécial d’accès) ; tous les clients GASPAR ont accès à distrilog, mais dans la plupart des cas seul le personnel a droit aux logiciels payants ;
  • si une unité de l’école décide de restreindre l’accès à distrilog (pour des raisons d’économies), son administrateur GASPAR va nommer un responsable du service distrilog de l’unité ;
  • ce responsable va d’abord révoquer l’accès distrilog à tout le personnel de l’unité et va l’ouvrir ensuite pour les personnes choisies selon la politique adoptée par l’unité (p.ex. accès 12 mois pour le personnel transitoire et illimité pour les autres) ;
  • pour les personnes n’ayant pas le droit d’accès, le service distrilog ne sera plus visible dans la liste des prestations securisées du SIC ; de même, l’authentification depuis la page distrilog sera aussi refusée ;
  • le responsable du service devra répondre aux demandes d’accès au service selon la politique de l’unité.

Présent et futur

Une visite sur gaspar.epfl.ch s’impose évidemment pour comprendre mieux ce mécanisme de sécurisation. Cette visite vous indiquera que, outre les fonctions liées au courrier électronique et à la distribution des logiciels, il est aussi possible aujourd’hui à travers Gaspar d’introduire des données personnelles dans l’annuaire électronique de l’Ecole, ainsi que d’ouvrir un compte sur la machine tremplin du projet DIODE (voir http://tremplin.epfl.ch).

D’autre part, certains services réseaux, tels que l’attribution d’adresses IP pour la connexion de nouvelles machines au réseau de l’EPFL utilisent déjà GASPAR pour valider les demandes interactives qui sont adressées au SIC (voir http://stiwww.epfl.ch/netserv/sre_frame.html). Et dans la foulée d’autres applications suivront la même voie dans un avenir que nous espérons proche :

  • la distribution de certificats d’authentification de clés publiques par l’autorité de certification du SIC (voir FI 10/97- Confidentialité et identité sur WWW par Martin Ouwehand). Cette application sera notamment utile pour sécuriser les accès à Gaspar lui-même (les mots de passe ne circuleront plus en clair sur le réseau) ;
  • l’accès à des données confidentielles pour les étudiants (les notes d’examens par exemple).

Il semble donc que le souhait de la Section Logiciels du SIC soit en passe de se réaliser, à savoir que GASPAR devienne le point de contrôle universel pour toutes les applications Web à accès restreint de l’EPFL. Longue vie à GASPAR...



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.