DocScoDoc/docs/ConfigCAS.md

# Configuration de l'authentification CAS

*Cette page s'adresse aux administrateurs système en charge de ScoDoc.*

Le CAS, *Central Authentication Service* CAS est un système d'authentification
unique (SSO) très utilisé dans les universités. Il permet à l'utilisateur de
s'identifier sur un site unique (souvent appelé "ENT" en raccourci), pour
ensuite accéder aux différents services. Il évite de s'authentifier à
chaque fois qu'on accède à une application en mettant en place un système de
ticket.

Notons que le CAS peut introduire des faiblesses dans l'application:

- indisponibilité ou lenteur du service;
- vulnérabilité si le serveur CAS (ou l'annuaire sur lequel il s'appuie) venait
  à être piraté.

Il est donc conseillé de s'assurer du bon fonctionnement et de la sécurisation de
son service CAS avant d'aller plus loin.

## Comptes utilisateurs ScoDoc et CAS

Rappel: voir [Gestion des utilisateurs](AdminUsers.md)

Pour simplifier, l'utilisateur va partir de ScoDoc, passer par le site CAS (redirection), puis
revenir si l'authentification réussi, avec un jeton et un identifiant CAS. À ce moment, ScoDoc cherche s'il a un
utilisateur ayant l'identifiant donné, dans le champ `cas_id`de sa base
utilisateur. Si oui, il ouvre une session pour cet utilisateur, avec ses rôles
et permissions.

## Paramètres spécifiques pour le CAS

### Configuration générale

Les pages de configuration générale de ScoDoc sont accessibles via la page
d'accueil, uniquement lorsqu'on est connecté comme super-admin.

![accès au panneau de config](fig/config-accueil.png)

De cette page, on accède à la page consacrée au CAS:

![config du CAS](fig/config-cas.png)

Page sur laquelle on va pouvoir spécifier:

- si on active le CAS (ce qui permet aussi de le désactiver globalement);
- si on force son utilisation;
- l'URL complète du serveur CAS (exemple: `https://mon.serveur.cas.fr:1234/cas/`);
- un attribut pour l'identification (laisser vide normalement);
- si on veut vérifier le certificat SSL (normalement oui, par sécurité, et
  fournir le fichier certificat PEM dans le champ suivant).

Si l'option **Forcer l'utilisation du CAS** est activée, l'utilisateur qui tente
de se connecter sera immédiatement redirigé vers la page du CAS. Sinon, il aura
le choix via le formulaire classique, avec un lien en plus:

![login scodoc avec CAS](fig/config-cas-cnx.png)

🚸 Attention, le lien de réinitialisation du mot de passe ne concerne évidemment
pas le mot de passe du CAS, mais celui de ScoDoc. C'est ennuyeux.

À ce stade, CAS est utilisable, mais on n'a aucun utilisateur reconnu !

### Configuration des utilisateurs

ScoDoc doit connaitre l'identifiant CAS de ses utilisateurs. A défaut d'un
annuaire, il va falloir saisir ces identifiants pour chaque compte. On peut le
faire via le formulaire habituel de paramétrage du compte utilisateur, ou bien
par import Excel.

Le formulaire n'est accessible qu'au super-admin (actuellement).

![form. config. utilisateur](fig/config-cas-user.png)

Ici trois champs nous intéressent:

- **Identifiant CAS**: nécessaire
- **Autorise connexion via CAS**: spécifie si ce compte peut ou non se connecter via CAS.
- **Autorise connexion via ScoDoc**: spécifie si cet utilisateur peut se connecter via
  ScoDoc, sans CAS, lorsque le CAS est activé et forcé. Ceci est nécessaire par
  exemple pour des comptes utilisés pour l'API, ou bien pour des personnes
  extérieures à l'établissement et qui ne seraient pas (encore) dans le CAS.

En cas de besoin, les comptes "super-admin" peuvent toujours se connecter à ScoDoc sans CAS: si le
forçage est activé, il leur faut passer par une adresse spéciale:

```text
 https://votre.serveur.scodoc.fr/auth/login_scodoc
```

🚸 **Attention**: en général, les **clients d'API** (et notamment la
"passerelle") n'utilisent pas le CAS: si vous forcez les utilisateurs à utiliser
le CAS, pensez à autoriser les comptes de l'API à se connecter sur ScoDoc sans
CAS.


!!! note "Voir aussi"

    - [Gestion des utilisateurs](AdminUsers.md)
    - [Guide administrateur ScoDoc](GuideAdminSys.md)
    - [API pour ScoDoc 9](ScoDoc9API.md)
    - [FAQ](FAQ.md)
    - [Contacts](Contact.md).
- Documentattion du CAS; - Remise en forme de plusieurs pages. 2023-03-01 19:05:21 +01:00			`# Configuration de l'authentification CAS`

			`Cette page s'adresse aux administrateurs système en charge de ScoDoc.`

			`Le CAS, Central Authentication Service CAS est un système d'authentification`
			`unique (SSO) très utilisé dans les universités. Il permet à l'utilisateur de`
			`s'identifier sur un site unique (souvent appelé "ENT" en raccourci), pour`
			`ensuite accéder aux différents services. Il évite de s'authentifier à`
			`chaque fois qu'on accède à une application en mettant en place un système de`
			`ticket.`

			`Notons que le CAS peut introduire des faiblesses dans l'application:`

			`- indisponibilité ou lenteur du service;`
			`- vulnérabilité si le serveur CAS (ou l'annuaire sur lequel il s'appuie) venait`
			`à être piraté.`

			`Il est donc conseillé de s'assurer du bon fonctionnement et de la sécurisation de`
			`son service CAS avant d'aller plus loin.`

			`## Comptes utilisateurs ScoDoc et CAS`

			`Rappel: voir [Gestion des utilisateurs](AdminUsers.md)`

			`Pour simplifier, l'utilisateur va partir de ScoDoc, passer par le site CAS (redirection), puis`
			`revenir si l'authentification réussi, avec un jeton et un identifiant CAS. À ce moment, ScoDoc cherche s'il a un`
			utilisateur ayant l'identifiant donné, dans le champ `cas_id`de sa base
			`utilisateur. Si oui, il ouvre une session pour cet utilisateur, avec ses rôles`
			`et permissions.`

			`## Paramètres spécifiques pour le CAS`

			`### Configuration générale`

			`Les pages de configuration générale de ScoDoc sont accessibles via la page`
			`d'accueil, uniquement lorsqu'on est connecté comme super-admin.`

			`![accès au panneau de config](fig/config-accueil.png)`

			`De cette page, on accède à la page consacrée au CAS:`

			`![config du CAS](fig/config-cas.png)`

			`Page sur laquelle on va pouvoir spécifier:`

			`- si on active le CAS (ce qui permet aussi de le désactiver globalement);`
			`- si on force son utilisation;`
			- l'URL complète du serveur CAS (exemple: `https://mon.serveur.cas.fr:1234/cas/`);
			`- un attribut pour l'identification (laisser vide normalement);`
			`- si on veut vérifier le certificat SSL (normalement oui, par sécurité, et`
			`fournir le fichier certificat PEM dans le champ suivant).`

			`Si l'option Forcer l'utilisation du CAS est activée, l'utilisateur qui tente`
			`de se connecter sera immédiatement redirigé vers la page du CAS. Sinon, il aura`
			`le choix via le formulaire classique, avec un lien en plus:`

			`![login scodoc avec CAS](fig/config-cas-cnx.png)`

			`🚸 Attention, le lien de réinitialisation du mot de passe ne concerne évidemment`
			`pas le mot de passe du CAS, mais celui de ScoDoc. C'est ennuyeux.`

			`À ce stade, CAS est utilisable, mais on n'a aucun utilisateur reconnu !`

			`### Configuration des utilisateurs`

			`ScoDoc doit connaitre l'identifiant CAS de ses utilisateurs. A défaut d'un`
			`annuaire, il va falloir saisir ces identifiants pour chaque compte. On peut le`
			`faire via le formulaire habituel de paramétrage du compte utilisateur, ou bien`
			`par import Excel.`

			`Le formulaire n'est accessible qu'au super-admin (actuellement).`

			`![form. config. utilisateur](fig/config-cas-user.png)`

			`Ici trois champs nous intéressent:`

			`- Identifiant CAS: nécessaire`
			`- Autorise connexion via CAS: spécifie si ce compte peut ou non se connecter via CAS.`
			`- Autorise connexion via ScoDoc: spécifie si cet utilisateur peut se connecter via`
			`ScoDoc, sans CAS, lorsque le CAS est activé et forcé. Ceci est nécessaire par`
			`exemple pour des comptes utilisés pour l'API, ou bien pour des personnes`
			`extérieures à l'établissement et qui ne seraient pas (encore) dans le CAS.`

			`En cas de besoin, les comptes "super-admin" peuvent toujours se connecter à ScoDoc sans CAS: si le`
			`forçage est activé, il leur faut passer par une adresse spéciale:`

			```text
			`https://votre.serveur.scodoc.fr/auth/login_scodoc`
			```

			`🚸 Attention: en général, les clients d'API (et notamment la`
			`"passerelle") n'utilisent pas le CAS: si vous forcez les utilisateurs à utiliser`
			`le CAS, pensez à autoriser les comptes de l'API à se connecter sur ScoDoc sans`
			`CAS.`


			`!!! note "Voir aussi"`

			`- [Gestion des utilisateurs](AdminUsers.md)`
			`- [Guide administrateur ScoDoc](GuideAdminSys.md)`
			`- [API pour ScoDoc 9](ScoDoc9API.md)`
			`- [FAQ](FAQ.md)`
			`- [Contacts](Contact.md).`