Comparaison entre la fédération d'identité et eduroam pour une authentification réseau nomade inter établissements

La fédération d'identités et eduroam sont deux services utilisables par la communauté enseignement supérieur pour gérer l'accès nomade inter établissements.

Cette page compare l'intérêt et les différences de ces deux solutions pour un établissement.

Le service eduroam.fr vise à offrir un accès sans fil sécurisé à l'Internet, aux personnels des établissements d'enseignement supérieur et de recherche lors de leurs déplacements, à une échelle nationale ou internationale.

L'infrastructure d'authentification mise en place s'appuie sur la norme 802.1X et utilise le protocole RADIUS. Le déploiement de ce service est subordonné à l'acceptation de la charte “eduroam.fr” et du respect des spécifications techniques.

La fédération du CRU est un cercle de confiance établissant des règles organisationnelles communes, un jeu d'attributs partagés et l'utilisation de briques technologiques inter opérables. Elle est utilisable pour sécuriser l'accès à des ressources accessibles via le web et partagés entre plusieurs établissements, à l'échelle locale (régionale par ex.) ou nationale. On peut l'utiliser, entre autres, pour de l'accès réseau nomade inter établissements via portail captif.

• eduroam n'est utilisé que pour authentifier le nomade afin de lui autoriser une connexion réseau, tandis que la fédération d'identités permet l'accès à tout type de ressources web et permet en plus d'obtenir des attributs sur les utilisateurs ;
• la charte d'eduroam préconise de ne faire aucun filtrage de protocoles en sortie et contraint au minimum les établissements à garantir l'utilisation de certains services tels que la messagerie, SSH, VPN... tandis qu'il n'y a pas à priori ces garanties avec la fédération d'identités ;
• eduroam a une échelle nationale, européenne voir internationale, tandis que la fédération ne couvre qu'une échelle nationale ou régionale ;
• le niveau de sécurité d'eduroam est globalement plus élevé que celui d'un accès via portail captif dans la fédération, car avec eduroam tous les flux entre le poste client et la borne Wi-Fi sont chiffrés ;
• sur le poste client (portable), eduroam nécessite la configuration d'un client 802.1X (exemple de documentation de configuration), tandis que pour la fédération il n'y a aucune configuration préalable, un simple navigateur suffit.

eduroam est par exemple très bien adapté pour une population maîtrisant son poste client (portable), nécessitant un niveau de sécurité et de services élevé, qui ont vocation à se déplacer à l'étranger, typiquement des chercheurs.

L'utilisation de la fédération d'identités pour l'accès nomade inter campus peut être suffisant pour une large population dont on maîtrise peu les portables, par exemple les étudiants.

Il est possible d'utiliser les deux technologies dans le même établissement.

Le projet DAME vise à faire converger les deux technologies.

Les campus bordelais (présentation de leur problématique ici) et les universités et l'IUFM de Bretagne utilisent la fédération d'identités (Shibboleth) pour le nomadisme Wi-Fi de leurs utilisateurs.