Comment intégrer l'authentification à un service ?

Intégrer une solution SSO à votre service 

 Avant de commencer l'intégration, il vous faut être au clair sur: 

 qui va se connecter à votre service (quel(s) institution(s)? Si UNIL uniquement, est-ce un service ouvert à tous? Ou destiné qu'à un groupe d'utilisateurs?), 

 par quel biais (uniquement un navigateur web? Ou une app?), 

 est-ce un service qui nécessite une authentification forte/mutifacteurs? 

 est-ce que votre service est bien compatible SAML ou OIDC? 

 quelles informations (attributs) sont nécessaires pour s'authentifier à votre service? 

 Quel type d'authentification selon le type d'utilisateur 

 Cela dépend qui doit se connecter à votre service. 

 Si les personnes qui s'y connectent: 

 ont tous un compte informatique UNIL -> Entra 

 peuvent provenir d'autres institutions, ou à titre privé -> edu-ID 

 Les protocoles pris en charge sont: 

 Le SAML (plus adapté pour les services web-based) 

 ou OIDC 

 Entra 

 Adapté pour une utilisation interne, où tous les utilisateurs ont un compte UNIL. On peut limiter l'accès à un groupe d'utilisateurs (groupe AD/Sylvia), et demander un 2e facteur. 

 Utilise les identifiants UNIL. 

 Nécessite un échange de métadonnées, et l'intervention d'un admin MS365. Merci de contacter helpdesk@unil.ch 

 Edu-ID 

 Adapté si les utilisateurs se connectent depuis l'UNIL ainsi que des institutions hors UNIL, ou à titre privé. 

 Cela se repose sur la fédération AAI, gérée par Switch. Documentation: https://help.switch.ch/aai/about/ 

 Utilise les identifiants Switch Edu-ID. 

 Nécessite de configurer une ressource dans le Resource Registry de Switch: https://rr.aai.switch.ch/ . Les membres de l'UNIL peuvent normalement soumettre une demande directement, qui sera ensuite validée par l'un des admins AAI de l'UNIL. 

 Métadonnées de notre Idp: https://rr.aai.switch.ch/gen_saml2md_entity.php?homeOrg=137 

 Questions? Contactez aai@unil.ch 

 Intégration d'un service géré par des tiers 

 Si vous souhaitez intégrer une authentification edu-ID à un service géré par des tiers, il faut voir si cette intégration sera un "one shot" ou si cet intégrateur tiers souhaite offrir ce service à la fédération AAI entière. Si c'est une intégration unique avec l'UNIL, contactez-nous avec les métadonnées et les attributs nécessaires, et nous rajouterons le nécessaire au Resource Registry. Si le service tiers souhaite être accessible à la fédération entière, il faut devenir un Switch edu-ID Federation Partner:  https://help.switch.ch/aai/join/partners/ 

 Arbre décisionnel