SSO depuis ENT Nantes ou Toulouse

Il est possible de créer un connecteur SSO depuis E-Lyco(Nantes) ou depuis l'ENT-MIP (Toulouse) vers Gépi.

À ce jour (4 avril 2010), le connecteur n'est actif que pendant 14 minutes après la connexion à l'ENT. Ensuite, si on est enseignant, il faut se déconnecter puis se reconnecter à E-Lyco pour pouvoir accéder à Gépi. Les invités peuvent se ré-identifier directement dans la page qui s'ouvre. Le problème est signalé à l'assistance technique de Nantes.

Côté Gépi

Pré-requis

Version minimum : GEPI 1.5.2

Attention :

  1. GEPI jusqu'à version 1.5.4
    Utiliser bien la dernière version du plugin compatible avec votre version de gépi.
    Pour les versions 1.5.2 et 1.5.3 de gépi la version du plugin est la 0.9.x
    Pour la version 1.5.4 de gépi la version du plugin est 1.0.x
    Les dernières versions sont téléchargeables ici : https://www.sylogix.org/projects/gepi/files
  1. GEPI 1.5.5 et suivantes
    Le plugin a été intégré dans GEPI en tant qu'option de connexion.
Installation
  1. Vérifiez que vous avez bien le module php-Curl installé sur votre serveur.
    En administrateur dans Gépi, Gestion générale -> Configuration du serveur. Dans le tableau des modules, vous devez trouver Curl.
  2. GEPI jusqu'à version 1.5.4 récupérez et installez le plugin_sso_table http://www.sylogix.org/projects/gepi/files
    GEPI 1.5.5 et suivantes n'installez pas le plugin_sso_table, il est intégré à GEPI
  3. Dans votre arborescence de GEPI, créez "/secure/config_cas.inc.php" (utilisez "config_cas.cfg" au besoin) avec
    1. $cas_host = "cas.e-lyco.fr"; // l'hôte du serveur CAS
    2. $cas_port = 443; // Le port
    3. $cas_root = '';
      Réglez les 3 dernières options à votre convenance
    4. $cas_logout_url = ''; # Laissez vide pour n'afficher que la page logout de Gepi. Assurez-vous de bien saisir une URL valide !
    5. $cas_logout_redirect = true; # true/false : activer ou non la redirection automatique lors du logout.
    6. $cas_use_logout = false; // true/false pour se déconnecter ou non de CAS quand on se déconnecte de GEPI.
      Je l'ai mise à true pour que la déconnexion se fasse lorsqu'on quitte Gépi proprement. La connexion d'E-Lyco reste active.
  4. Dans Gestion générale -> Options de connexions : laissez coché : authentification autonome (sur la base de données de Gepi).
    1. Dans "Service d'authentification unique" : cocher CAS
    2. Réglez les options supplémentaires à votre convenance
    3. GEPI jusqu'à version 1.5.4 : Fichier d'identification SSO alternatif : renseignez ce champ avec mod_plugins/plugin_sso_table/login_sso.php afin de pouvoir vous identifier à partir du lien Se connecter en utilisant le service d'authentification unique de la page d'identification de Gépi
    4. GEPI 1.5.5 et suivantes : cocher la case 'Sessions SSO CAS uniquement : utiliser une table de correspondance .'
  5. Pas obligatoire mais une sécurité de plus. Créez un deuxième compte administrateur avec identification locale pour conserver un accès en cas de problème et s'assurer que le compte administrateur est bien en identification locale. Après vérification que les 2 comptes sont bien accessible en identification locale, vous pouvez en modifier un pour qu'il soit accessible par SSO depuis le compte administrateur de E-Lyco.
  6. Dans Gestion des bases->Gestion des comptes d'accès des utilisateurs (https://votre_adresse_de_Gepi/utilisateurs/index.php), changez le mode d'identification pour tous les utilisateurs à qui vous voulez ouvrir l'accès en SSO. Cette action supprime le mot de passe enregistré dans Gepi. Il est possible de le faire par lots pour les élèves et les parents. Pour les personnels, il faut le faire un par un.
  7. GEPI jusqu'à version 1.5.4 : Utilisez le plugin "plugin sso table" pour faire la correspondance "Login Gepi->Login SSO". LoginGepi est le login dans Gepi, Login SSO est l'identifiant unique de l'utilisateur (UID) dans E-Lyco, on le trouve sur sa fiche dans l'annuaire. Attention ! c'est bien l'UID qu'il faut utiliser et pas le login E-Lyco malgré l'intitulé du champ.
    On peut créer un csv des UID dans Annuaire -> Administration -> Export.
    Le plugin permet également d'importer directement le fichier des identifiants issus des ENT de Nantes et Toulouse. La correspondance se fait alors automatiquement.
    Ce fichier csv peut être importé avant de passer les comptes en SSO (étape précédente). Malgré les messages d'erreurs, la table de correspondance est bien créée. Le passage en SSO d'un compte se résume alors à changer son mode d'identification.
  8. GEPI 1.5.5 et suivantes : Dans gestion des bases->Gestion de la table SSO faites la correspondance "Login Gepi->Login SSO". LoginGepi est le login dans Gepi, Login SSO est l'identifiant unique de l'utilisateur (UID) dans E-Lyco, on le trouve sur sa fiche dans l'annuaire. Attention ! c'est bien l'UID qu'il faut utiliser et pas le login E-Lyco malgré l'intitulé du champ.
    Les mêmes possibilités d'imports par lots existent que pour le plugin.

Côté e-lyco

Dans l'onglet « information générale » :

  • Code : gepisso
  • Intitulé : Gepi par SSO
  • Type de SSO : pas de SSO ou SSO standard
  • URL : https://votre_adresse_de_gepi/login_sso.php
  • Ordre : selon votre souhait
  • Type Xiti : Les services de vie scolaire
  • Description : selon votre souhait
  • Icône : vous êtes libre de mettre un icône adapté à votre charte graphique en respectant les dimensions indiquées.

Dans l'onglet « Accès » : Configurer les droits d'accès des différents utilisateurs.

retour au menu