Shibboleth et la haute disponibilité
Mehdi Hached
RENATER
Campus de Beaulieu - Rennes
Olivier Salaün
Comité Réseau des Universités
Campus de Beaulieu - Rennes
Mots clefs
Haute disponibilité, répartition de charge, redondance, Shibboleth, fédération d'identités, HTTP.
Résumé
Le logiciel Shibboleth est la brique technique permettant de déployer les mécanismes de fédération d'identités dans les établissements d'enseignement supérieur et de recherche. On distingue deux briques logicielles distinctes distribuées sous l'appellation Shibboleth : le fournisseur d'identités (ou IdP), le fournisseur de services (ou SP) et une brique complémentaire, le service de découverte (WAYF). Chacune de ces briques logicielles a des contraintes de disponibilité et des dépendances complexes à déterminer. L'objectif de l'article est d'étudier les problématiques de haute disponibilité pour ces trois briques logicielles. En effet, le principe de fédération d'identités consiste à déléguer les fonctions d'authentification d'une application web à un service de fournisseur d'identités ; on a dès lors une dépendance de l'ensemble des applications « shibbolethisées » vis à vis des briques de fédération d'identités.
Nous débuterons par une analyse des contraintes spécifiques s'appliquant à chacune des trois briques logicielles Shibboleth. Ensuite nous définirons les objectifs pertinents pour chaque brique, en fonction des caractéristiques d'un organisme (nombre d'utilisateurs, dispersion géographique, etc.). Parmi les objectifs nous dissocierons les besoins de « répartition de charge » et le cas de la « tolérance aux pannes ». Enfin nous étudierons plusieurs solutions techniques envisageables, en mettant l'accent sur celles déployées au CRU.
Shibboleth et la haute disponibilité
Mehdi Hached
RENATER
Campus de Beaulieu - Rennes
Olivier Salaün
Comité Réseau des Universités
Campus de Beaulieu - Rennes
Mots clefs
Haute disponibilité, répartition de charge, redondance, Shibboleth, fédération d'identités, HTTP.
Résumé
Le logiciel Shibboleth est la brique technique permettant de déployer les mécanismes de fédération d'identités dans les établissements d'enseignement supérieur et de recherche. On distingue deux briques logicielles distinctes distribuées sous l'appellation Shibboleth : le fournisseur d'identités (ou IdP), le fournisseur de services (ou SP) et une brique complémentaire, le service de découverte (WAYF). Chacune de ces briques logicielles a des contraintes de disponibilité et des dépendances complexes à déterminer. L'objectif de l'article est d'étudier les problématiques de haute disponibilité pour ces trois briques logicielles. En effet, le principe de fédération d'identités consiste à déléguer les fonctions d'authentification d'une application web à un service de fournisseur d'identités ; on a dès lors une dépendance de l'ensemble des applications « shibbolethisées » vis à vis des briques de fédération d'identités.
Nous débuterons par une analyse des contraintes spécifiques s'appliquant à chacune des trois briques logicielles Shibboleth. Ensuite nous définirons les objectifs pertinents pour chaque brique, en fonction des caractéristiques d'un organisme (nombre d'utilisateurs, dispersion géographique, etc.). Parmi les objectifs nous dissocierons les besoins de « répartition de charge » et le cas de la « tolérance aux pannes ». Enfin nous étudierons plusieurs solutions techniques envisageables, en mettant l'accent sur celles déployées au CRU.