Paramètres Univnautes

Menu services

Un onglet Univnautes dans la fenêtre Services/Captive portal permet d'accéder aux paramètres spécifiques à Univnautes, notamment à la gestion de l'authentification via la fédération.

Menu services

On peut ainsi définir :

Onglet «UnivNautes»

Options «Captive portal: User interface»

Définition du comportement de base du portail captif.

Default IdP (Entity ID)

l'entityId du fournisseur d'identité (IdP) à présenter par défaut, c'est-à-dire qui sera accessible en un clic sur la page de connexion. On y indique en général l'IdP de son propre établissement, en supposant que la plupart des utilisateurs qui utilisent eduspot en seront issus.

Redirection delay

Le délai de redirection de l'utilisateur vers l'URL qu'il avait demandé au départ. Si aucun délai n'est indiqué, après login l'utilisateur restera sur la page d'accueil du portail captif ; l'URL qu'il avait demandée sera juste affichée et il pourra cliquer dessus. Si le délai est 0, après login l'utilisateur sera directement envoyé vers l'URL qu'il avait demandé sans afficher la page d'accueil.

Redirection URL

Si une URL est définie, l'utilisateur sera envoyé vers cette URL, et non vers l'URL qu'il avait demandé avant connexion au portail captif. Cette URL peut contenir des variables au format Python, par exemple http://www.univ-test.fr/eduspot?%(ip)s (liste des variables disponibles affichée sur la page de configuration).

Options «SAML 2.0 Service Provider»

Clés du portail captif, fournisseur de service inscrit dans la fédération.

SAML Private Key et SAML Signing Key (Certificate)

La clé privée et le certificat (clé publique) du fournisseur de service SAML 2.0, tel qu'enregistré dans la fédération.

Options «SAML 2.0 Local Identity Provider»

Enable local IdP

UnivNautes intègre un petit fournisseur d'identités SAML 2.0 local (local IdP) qui peut être ajouté aux IdP de la fédération, par exemple pour permettre à des utilisateurs de passage d'utiliser le service. Pour activer cet IdP local, il faut cocher la case «Enable local IdP» puis configurer les clés ci-dessous.

Local IdP SAML Private Key / Local IdP SAML Signing Key (Certificate)

La clé privée et le certificat (clé publique) du fournisseur d'identité SAML 2.0.

Options «Federation: metadata download»

Ces options définissent la fédération utilisée. Pour ce qui concerne Renater, voir https://services.renater.fr/federation/technique/metadata.

Metadata URL

L'URL des métadonnées de la fédération choisie.

Metadata CA (https certificate issuer)

Certificat de l'autorité qui a délivré le certificat x509 du serveur (https) qui délivre les métadonnées

Metadata certificate

Certificat permettant de vérifier la signature des métadonnées elles-mêmes.

Options «Federation: IP whitelist, for IdPs»

Les fournisseurs d'identités doivent être joignables par les clients même quand le portail captif est "fermé". Pour cela, on fourni une liste blanche d'adresses IP à ouvrir. Pour Renater, voir https://services.renater.fr/mobilite/eduspot/whitelist.

IP whitelist URL

L'URL de whitelist d'IP eduspot

IP whitelist CA (https certificate issuer)

Certificat de l'autorité qui a émis le certificat du serveur https qui délivre la liste blanche.

Whitelist statics IP

Une whitelist d'IP additionnelle, pour permettre de contacter des IdP absents de la whitelist IP fournie par eduspot. Par exemple, des IdP de test ou des IdP ajoutés (voir «Local metadata» ci dessous).

Options «Federation: local metadata (SPs and IdPs)»

Local metadata

Des métadonnées additionnelles, pour ajouter des fournisseurs d'identités (IdP) utilisables par le portail captif, pour des fournisseurs de service (SP) utilisables par l'IdP local intégré à UnivNautes.

Options «Discovery Service»

IdP Discovery Service endpoints (read)

Liste d'URL «IdP Discovery Service» à contacter pour déterminer l'IdP préféré de l'utilisateur. Vous pouvez en indiquer plusieurs, mais pas trop : ces services seront tous contactés par chaque utilisateur qui affichera la page de connexion. Attention à bien ajouter les IP correspondantes dans la liste blanche locale (voir ci-dessus).

IdP Discovery Service endpoints (write)

Liste d'URL «IdP Discovery Service» à contacter pour enregistrer l'IdP préféré de l'utilisateur (implémentant le protocole DiscoJuiceReadWrite). Vous pouvez en indiquer plusieurs, mais pas trop : ces services seront tous contactés par chaque utilisateur qui se connectera. Attention à bien ajouter les IP correspondantes dans la liste blanche locale (voir ci-dessus).

Options «Blacklists»

User blacklist

Liste de «nameId|entityId» à interdire, entityId indiquant l'IdP et nameId le pseudonyme de l'utilisateur renvoyé par ces IdP.

MAC blacklist

Liste d'adresses Ethernet (MAC) à interdire, une adresse par ligne.

Onglet «UnivNautes UI» (User Interface)

Options «Texts (HTML)»

Ces textes peuvent être en HTML, voire afficher des images avec des balises img. Dans ce dernier cas, ajouter d'abord le logo via l'onglet File manager.

Header

Un texte à ajouter en haut des pages (on peut indiquer du code HTML).

Footer

Un texte à ajouter en bas des pages.

Disclaimer

Texte affiché sur la page «Conditions d'utilisation».

Local informations

Texte en bas de la page d'accueil, affiché après la réussite de l'authentification.

Options «Email form configuration (/mail)»

Ces options permettent d'activer un formulaire disponible sur l'URL https://eduspot.univ-xxx.fr/mail destiné aux utilisateurs qui veulent signaler un soucis avec l'utilisation d'UnivNautes. Pour que le formulaire soit activé, il faut indiquer au moins un destinataire (Recipient) et un serveur SMTP à contacter (Host).

Possible subjects

Liste de sujets de pannes classiques que l'utilisateur peut sélectionner dans le formulaire.

Recipient

Courriel du destinataire.

Host

Nom du serveur SMTP à utiliser. Si vide, le système est désactivé.

Port

Port de connexion sur le serveur SMTP (587 par défaut)

User

En cas d'authentification SMTP, nom d'utilisateur à utiliser. Si vide, aucune authentification ne sera tentée.

Password

En cas d'authentification SMTP, mot de passe de l'utilisateur ci-dessus.

Use TLS

Cocher si la communication avec le serveur SMTP doit utiliser TLS (connexion chiffrée), ce qui est en général nécessaire en cas d'authentification.