22 research outputs found
InAcademia: VALIDER LE STATUT ÉTUDIANT DE MANIÈRE SIMPLE, RAPIDE ET SÉCURISÉE
Accepteriez-vous d’envoyer une copie de votre carte étudiante pour bénéficier d’une réduction en ligne ? Ou pire encore, de votre carte d’identité ?Alors que les enjeux liés aux données personnelles nous préoccupent de plus en plus, les pratiques abusives ou disproportionnées de certains services commerciaux en ligne ne s’améliorent pas pour autant. Afin de limiter ces dérives, GÉANT a décidé de mettre en place le service InAcademia. Celui-ci se limite, quand il est contacté par un service commercial, à fournir le statut de l’utilisateur : il est étudiant ou non.De cette manière, les étudiants peuvent bénéficier de réductions de manière anonyme, en utilisant leurs comptes institutionnels grâce à la Fédération d’identités.InAcademia se développe rapidement en Europe, il est déjà pleinement opérationnel au Danemark, en France, en Allemagne, en Espagne et aux Pays-Bas. L’objectif étant de couvrir une population d’environ 50 millions d’étudiants au sein de l’Union européenne.Ce poster explique les enjeux et périmètres d’utilisation de ce service en France et à l’international, en affichant des exemples d’utilisations concrets pour les étudiants.En particulier, InAcademia se démarque par son architecture qui embarque toute la complexité technique à son niveau, afin de permettre aux fournisseurs de services commerciaux ou associatifs de s’interconnecter facilement tout en choisissant le protocole qu’ils supportent. N’y a-t-il pas dans votre établissement des services dédiés aux étudiants qui pourraient s’interconnecter avec InAcademia afin de leur accorder l’accès tout en préservant leurs données personnelles
L’hébergement de fournisseurs d'identités par RENATER
The Federation Éducation-Recherche operated by RENATER (the national research and education network in France) is a technical and trust framework that allows its members to access institutional services in a secure way. However, access to these services requires the deployment and configuration of an identity provider at the home institution level.Some institutions, for budgetary, technical or organisational reasons, are not able to set up an identity provider and their users are therefore unable to benefit from the services of the Education-Research community.RENATER therefore provides a solution to outsource the deployment and configuration of an identity provider, which considers the different technical aspects related to hosting and operating this type of resource (monitoring, updating security, complying with the technical framework, etc.). This solution allows not only the hosting of an identity provider, but also potentially the hosting of an LDAP directory for managing the institution’s users (supplying this repository remains the responsibility of the institution).This service, whose production launch has recently been finalised, is available through two identity provider hosting solutions (dedicated and shared) designed to meet the specific context and needs of these institutions. We will therefore see the different features associated with these two offerings, feedback from some pilot institutions, the subscription terms and conditions, and finally developments planned in the short and medium term.La Fédération Éducation-Recherche opérée par RENATER constitue un cadre organisationnel et technique de confiance qui permet aux utilisateurs d'accéder aux services des établissements de façon sécurisée. Mais l'accès à ces services nécessite le déploiement et la configuration d'un fournisseur d’identités dans les établissements.Certains établissements, pour des raisons budgétaires, techniques ou organisationnelles, ne sont pas en mesure de mettre en place un fournisseur d'identités et leurs utilisateurs sont donc dans l’incapacité de profiter des services de la communauté Éducation-Recherche. RENATER propose donc une solution pour externaliser le déploiement et la configuration d’un fournisseur d’identités, qui prend en compte les différents aspects techniques liés à l'hébergement et l'exploitation de ce type de ressource (monitoring, mises à jour de sécurité, respect du cadre technique…). Celle-ci permet non seulement d’héberger des fournisseurs d’identités, mais aussi éventuellement un annuaire LDAP comme référentiel utilisateurs de l’établissement (l'approvisionnement de ce référentiel restant cependant à la charge de l’établissement). Ce service, dont la mise en production a été finalisée récemment, se décline en particulier au travers de deux offres d'hébergement de fournisseur d'identités (dédiée et mutualisée) destinées à répondre au contexte et besoins spécifiques des établissements.Nous verrons donc les différentes fonctionnalités associées à ces deux offres, le retour d’expérience de certains établissements pilotes, les modalités de souscription, et enfin les évolutions envisagées à court et moyen terme
eduVPN - Accès sécurisé à internet
eduVPN is a new Open Source service in the pilot phase within the GIP RENATER, rolled out as part of our participation in the GEANT international projects. It was initially supported and developed by the Dutch national research network in 2015 (commonly known as NREN), which offers the service in production for their community. To date, eight other countries are in the pilot phase.It enables the establishment of a secure VPN connection for members of the French Federation “Fédération Éducation-Recherche” using different media (Windows, Linux, iOS, MacOS, Android). Users can thereby access the Internet or their establishment's private network without the fear of prying eyes.eduVPN can be declined under two options:1. An instance managed by RENATER and offered to its members, with the aim of enabling a certain population (students, employees or researchers) to connect securely to the Internet using their institutional accounts, via their federated identities. In addition, eduVPN is a collaboration between different NRENs. You can therefore use eduVPN servers from other countries, in the same way as you can use Eduroam internationally.2. An instance rolled out and managed by the institution to access its private network and internal applications in a secure way, thereby replacing or supplementing existing VPN solutions.We will present the various technical blocks of the service, and address the processes for setting up the service at the organisational (governance, charter, etc.) and technical (automated deployment, etc.) levels.eduVPN est un nouveau service Open Source en phase pilote au sein du GIP RENATER, déployé dans le cadre de notre participation aux projets internationaux GEANT. Il a été Initialement porté et développé par le réseau national de la recherche Hollandais en 2015 (communément appelé NREN), qui propose le service en production pour leur communauté. À ce jour 8 autres pays sont en phase pilote.Il permet la mise en place d’une connexion VPN sécurisée pour les membres de la Fédération d’Identité Éducation-Recherche depuis différents supports (Windows, Linux, iOS, MacOS, Android). Les utilisateurs peuvent ainsi accéder à Internet ou au réseau privé de leur établissement sans avoir à craindre les regards indiscrets.eduVPN peut être décliné sous deux options :1. Instance gérée par le GIP RENATER et proposée à ses membres, qui a pour objectif de permettre à une certaine population (étudiants, employés ou chercheurs) de se connecter de manière sécurisée à Internet tout en utilisant son compte institutionnel via la Fédération d’identités Éducation-Recherche. En outre, eduVPN est une collaboration entre différents NREN. Vous pouvez donc utiliser des serveurs eduVPN d'autres pays, de la même manière que vous pouvez utiliser eduroam à l’international.2. Instance déployée et gérée par l’établissement pour accéder à leur réseau privé, et applications internes de manière sécurisée, et ainsi remplacer ou compléter les solutions VPN existantes.Nous présenterons les différentes briques techniques du service, et aborderons les processus de mise en place du service au niveau organisationnel (gouvernance, charte …) et techniques (déploiement automatisé…)
L’hébergement d’IdP par RENATER
RENATER, the National Research and Education Network in France, is offering a new service of hosting identity providers (IdPs), for members of RENATER community. This service aims to simplify access to federated resources for the small organizations. Currently, to use resources of the research and education network, for example services provided by RENATER (Universalistes, plate-forme anti-spam, FileSender, etc.), an organization needs to join the RENATER identity federation by deploying there own identity provider. Small organizations are discouraged from this deployment because of budgetary, technical or organizational reasons.With IdP hosting as a service, the identity providers are deployed, configured and hosted by RENATER. All the technical aspects (monitoring, updates) are included in the offer.If needed the service also includes the hosting of an LDAP directory. The organizations have access to it though a web interface that allows the organization to add and define access roles and attributes for multiple users.Various methods and tools have been used to ensure the continuous availability of the service. Managing updates has also been taken into account to ensure a great quality of service (bug fixes, security updates, use of the new features of the IdP ...).RENATER (REseau NAtional de Télécommunications pour la technologie, l'Enseignement et la Recherche) va offrir un nouveau service d’hébergement de fournisseur d’identités (IdP) SAML à ses organismes et établissements membres. Ce service a pour but de simplifier l’accès aux ressources de la fédération Éducation-Recherche pour les petits organismes.Actuellement, pour utiliser les ressources accessibles via la fédération Éducation-Recherche et notamment les services proposés par RENATER, (RENdez-vous, FileSender, RENAvisio, Universalistes, etc.), les sites doivent être raccordés à la fédération Éducation-Recherche et doivent déployer et configurer dans leurs établissements un fournisseur d’identités. Les petites structures sont découragées par ce déploiement pour des raisons budgétaires, techniques ou organisationnelles et sont ainsi dans l’incapacité d’utiliser les services de la fédération Éducation-Recherche.Avec l’offre d’hébergement d’IdP les fournisseurs d’identités sont déployés, configurés et hébergés par RENATER. Tous les aspects technologiques (monitoring et mises à jour) sont inclus dans l’offre. Le service permet non seulement d’héberger des fournisseurs d’identités, mais aussi éventuellement un annuaire LDAP comme référentiel utilisateurs de l’établissement. Les établissements disposent d’un accès Web à cet annuaire permettant d’ajouter, de supprimer et de définir des utilisateurs et leurs droits.Différentes méthodes et outils ont été mis en place pour garantir la disponibilité permanente du service. La gestion des mises à jour de l’IdP Shibboleth et des briques qui le composent a également été prise en compte pour garantir une bonne qualité de service (corrections de bug, mises à jour de sécurité, utilisation des nouvelles fonctionnalités des Idp…)
IdP de Shibboleth vs CAS d’Apereo, « le meilleur des mondes possibles »
Cette présentation a pour objectif de faire ressortir les possibilités offertes par les dernières versions des deux serveurs d’authentification les plus répandus dans la communauté Enseignement Recherche : l’IdP Shibboleth et le serveur CAS d’Apereo.Nous reviendrons tout d’abord sur les principes généraux de l’IdP3 et des serveurs CAS (5.x et 6.x). Nous aborderons ensuite leurs principales évolutions récentes. Enfin, nous identifierons leurs différences et leurs similitudes de fonctionnement : les deux peuvent gérer notamment les protocoles SAML et CAS, le recueil du consentement de l'utilisateur, l'authentification MFA, etc.De ces éléments se dégagera légitimement la question suivante : **Puis-je mettre en œuvre une seule brique technique dans mon SI, c’est-à-dire soit un serveur CAS d'Apereo, soit un IdP Shibboleth qui fait tout ?**Nous apporterons des éléments de réponse à cette question à travers plusieurs cas d’utilisation et d’intégration de l’IdP3 Shibboleth et du serveur CAS, « seul et ensemble » : -- Utilisation d’une **seule **brique technique pour « tout faire » : * IdP Shibboleth utilisé en tant que serveur CAS * Serveur CAS utilisé en tant qu’IdP SAML -- Utilisation des deux briques **ensemble **: délégation de l’authentification de l’un à l’autre : * « Cassifier » l’IdP Shibboleth (Shibboleth en client CAS 2.0) * « Shibboliser » CAS (CAS en mode SP SAML)Nous évoquerons enfin également des nouveaux usages possibles de ces deux applications
Évolution du service fédérations d'identité
Depuis sa création en 2008, la Fédération Éducation-Recherche constitue un cercle de confiance permettant à ses membres de partager l’accès à des ressources numériques de façon simple et sécurisée. La croissance du nombre d’établissements et des usages incitent à faire évoluer le service Fédérations d’identité, afin de maintenir un niveau de sécurité et de confiance conforme aux besoins de notre communauté. Nous travaillons depuis 2019 à améliorer la qualité générale de la fédération la plus visible, la Fédération Éducation-Recherche, par l’introduction progressive d’exigences qualificatives en phase avec les enjeux de sécurité. Et pour renforcer l’application de ces exigences, nous sommes passés d’une démarche de contrôle a posteriori, à une démarche de contrôle a priori, en transférant la responsabilité de valider les demandes d’enregistrement dans une fédération aux responsables de celle-ci. Chiffres à l’appui, nous montrons les effets de ce changement.Nous présenterons également les évolutions du guichet de la Fédération et du nouveau service MDQ de distribution de métadonnées à la volée. Partant du même constat, le Ministère de l’Enseignement Supérieur et de la Recherche a initié en 2023 le projet NewConnect, pour renforcer la ”Sécurisation des identités de la communauté ESR”. Nous aborderons les résultats des travaux liés à la Fédération Éducation-Recherche, et les moyens de fiabilisation des identités et d’élévations des mécanismes d’authentifications (multi-facteurs), pour le passage à l’échelle. Ainsi qu’une évolution protocolaire permettant d’enregistrer et d’interconnecter des services OIDC dans la Fédération Éducation-Recherche ou même d’autres fédérations d’identité au sein de l’État, tels qu’AgentConnect
Un service d’autorisation pour les Organisations Virtuelles
The authorization service offered by RENATER is a lightweight solution for managing access to web services for Virtual Organizations (VOs) like communities of research and education.Many VOs already use Sympa via the “Universalistes” service as a group manager, which hosts 1100 groups (with a maximum of 20,000 members per group).That is why RENATER oriented its “Universalistes” service around SYMPA, extending its functionality with Shibboleth Attribute Authority.Using “Universalistes” VOs can allow members in their groups to access to services operated by RENATER or third parties (e.g.: access to online journals). Authorized services can also use group membership information from Universalistes.For example, RENATER implemented an authorization service to authorize user of it’s premium Filesender service. The current FileSender service is open to all users of the community research and education but is capped at 10GB per user. In the premium version, the members can manage their own list of users allowing them to use up to 200GB.Le service d’autorisation proposé par RENATER est une solution légère permettant de gérer les accès à des applications webs pour les Organisations Virtuelles (VOs) telles que les communautés de recherche et d’éducation.De nombreuses VOs utilisent déjà Sympa, via le service Universalistes, en tant que gestionnaire de groupe principal. Universalistes héberge 1100 groupes (avec un maximum de 20 000 membres par groupe).Ceci a conduit RENATER à construire son service d’autorisation autour de Sympa, en étendant ses fonctionnalités avec l’Attribute Authority de Shibboleth, logiciel également maîtrisé par RENATER en tant qu’opérateur de la fédération nationale Education-Recherche.Ainsi, les Vos, ou groupe d’utilisateurs sous Universalistes, peuvent elles-mêmes autoriser les membres de leurs groupes à accéder à des applications opérées par RENATER ou par des tiers (ex : accès à des revues en ligne). Les applications autorisées peuvent utiliser des informations d’appartenance à un groupe sur Universalistes pour définir des droits et des conditions d’accès de l’utilisateur.À titre d’exemple, le service d’autorisation a été mis en œuvre par RENATER pour filtrer les utilisateurs du service FileSender Premium. En effet, le service FileSender actuel est ouvert à tous les utilisateurs de la Fédération Education-Recherche mais plafonné à 10GB par utilisateur. Dans la version Premium, les établissements souscrivant au service pourront gérer eux-mêmes et dans Sympa, une liste d’utilisateurs Premium qui auront un quota de 200GB
Amélioration de la confiance dans la Fédération Éducation-Recherche
The Research-Education identity federation enables secured and simple access to online services for research and education community. It groups together more than 300 universities and research centres; and more than 1200 services.The relationship mainly rely on trust between participants based on both a technical and organizational framework, defined by GIP RENATER.It is therefore mandatory to keep a high level of confidence in a still-growing federation.To reach this objective, actions are taken to control and improve the data quality, both at national and international (eduGAIN) level.This is done in the following areas: * Updating technical and organizational framework * Setting up controls, to enforce framework respect * Trigerring corrective actions, to ensure framework alignment * Data collection and global indicators construction about federation usageWe will present in this talk the progress of the work allowing RENATER to meet its objectives: - Increase reliability; by improving interoperability between entities and lower support activities, - Improve user experience, by ensuring federated services availability, adequate presence into a national federation, and the quality of the metadata (name, logo, description) - Improve trust, by enforcing the frameworks defined by RENATER, recall the requirements to consider GDPR, and encourage commitment into optional certification (SIRTFI, R&S, Code of conduct) - Provide authentication metrics and statistics at federation level.La Fédération Éducation-Recherche permet de sécuriser et simplifier l’accès à des services en ligne destinés à la communauté Éducation Recherche, elle relie aujourd’hui environ 300 établissements et 1200 services.Cette relation repose principalement sur la confiance entre les différents participants, fondée sur le cadre technique et organisationnel défini par le GIP RENATER.Il est donc primordial de maintenir un niveau de confiance élevé dans une fédération qui ne cesse de croître.Dans ce sens plusieurs actions sont entreprises pour contrôler et relever la qualité des données, aussi bien au niveau national qu’international (eduGAIN). Cela passe notamment par : * Une mise à jour du cadre technique et organisationnel de la Fédération Éducation-Recherche ; * La mise en place de contrôles proactifs du respect de ce cadre ; * Le déclenchement d’actions palliatives par les membres ; * La collecte d’informations et la construction d’indicateurs globaux sur l’utilisation de la fédération.Dans cette présentation, nous présenterons l’avancement des travaux permettant d’atteindre les objectifs que RENATER s’est donnés : * Augmenter la fiabilité : en améliorant l'interopérabilité entre les différentes entités, afin de diminuer les problématiques de support ; * Améliorer l'expérience utilisateur : en s'assurant de la disponibilité des services, de la pertinence de leur présence dans une fédération nationale, et de la qualité de leurs éléments descriptifs (nom, logo, description) ; * Améliorer la confiance : en cadrant mieux les pratiques, en rappelant la nécessité de prise en compte du RPGD, et en encourageant l'adhésion aux différentes certifications optionnelles (SIRTFI, R&S, Code of conduct) ; * Fournir des métriques et statistiques d’authentification au niveau de la fédération
Surface chemical-bonds analysis of silicon particles from diamond-wire cutting of crystalline silicon
Flexibly formed concrete: Exploiting the deformation behaviour of weft-knitted formworks caused by concrete pressure
To reduce the construction industry’s negative influence on global climate, emissions related to concrete consumption need to be addressed. This implies reducing the amount concrete used, by creating material-efficient structures. One of concrete’s main advantages is that it can be moulded into virtually any shape. Despite the fact that modern digital design tools enable the effortless design and calculation of lightweight and graceful structures, this potential often goes unrealised. This can be attributed to the challenges associated with constructing intricate and custom geometries using conventional formwork techniques that depend on single-use cut timber or milled foam. Not only do these methods make the construction of these types of structures labour and cost intensive, they also cause them to be wasteful.KnitCrete, which uses knitted technical textiles as stay-in-place moulds for concrete structures, has proven to be a solution for building doubly curved structures, eliminating the need for time-consuming, costly, and wasteful moulds. However, due to its inherent high flexibility and the challenges of predicting and controlling the geometry during the casting process, the technology relies on coating procedures using high-strength cement paste coating to stiffen the geometry before concrete can be poured.This research addresses both issues and proposes a design approach, which models the deformation behaviour of the uncoated knitted formwork under concrete pressure to determine the final geometry of flexibly formed concrete structures, hence gaining better understanding on the deformation behaviour of knitted textile formworks and bypassing the stiffening steps during fabrication.Developing a method to predict the final geometry of flexibly formed concrete structures involves various research disciplines, including material science, and structural mechanics. The research approach is divided into three parts. The first part investigates the stress-strain relationship of various textiles with different knitting patterns, alongside the rheological and mechanical strength properties of different cementitious mixtures. The second stage focuses on developing (semi-)analytical models to predict the deflection behaviour of membranes subjected to varying boundaries, loads, and material properties. Finally, the accuracy of the models are validated by the construction of multiple prototypes.In conclusion, this thesis introduces a fabrication system that exploits the deflection behaviour of flexible formworks to create funicular shell structures and lays the foundation for implementing (semi-)analytical approaches to model these deformations.Civil Engineerin
