...
Le consortium ESUP-Portail gère un nombre de plus en plus important de documents qui doivent être signés par ESUP-Portail et souvent par un établissement membre également.
Ces documents concernent ainsi correspondent à des adhésions, des conventions, des devis, facturations etc.
...
Dans le cas où le document est signé numériquement (et ne correspond pas une 'simple' signature calligraphique / apposition d'image) via une autre instance d'esup-signature ou tout autre outil, l'instance d'esup-signature d'ESUP-Portail doit permettre de conserver les signatures numériques déjà présentées. Si les documents signés via ESUP-Portail de manière dématérialisée ne nécessitent pas l'usage d'une signature qualifiée (type RGS**) de personnes *physiques*, on souhaite cependant préserver toute signature de ce type qui aurait pu être utilisée en amont de la signature ESUP-Portail par un de nos partenaires.
...
En résumé, d'un point de vue pratique, ces considérations nous ont amené à mettre en place une instance esup-signature d'ESUP-Portail proposant ces caractéristiques :
- Authentification authentification shibboleth avec des rôles affectées affectés en fonction des de l'attribut eduPersonPrincipalName (eppn) sans lien direct avec un annuaire LDAP ;
- Un un usage systématique d'un certificat cachet serveur RGS** tel que le supporte esup-signature.
Installation matérielle
L'instance esup-signature d'ESUP-Portail est installée et gérée par l'Université de Rouen Normandie ; elle correspond à une Machine Virtuelle opérée par la solution VMware vSphere de l'université.
Le certificat cachet serveur propre à l'esup-signature d'ESUP-Portail a été acquis auprès de certinomis par le consortium lui-même, un membre de l'université de Rouen en est le mandataire et le responsable technique serveur.
Ce certificat cachet serveur se matérialise par :
...
L'usage de la signature par certificat cachet serveur est systématique : le cachet serveur pemert permet la réalisation de cachets systématiques côté serveur en masse sans requérir d'à une installation et ou configuration supplémentaire pour les clients signataires.
La demande d'une signature par le/la président(e) d'ESUP-Signature (ou délégataire) est possible à toute personne authentifiée (fédération ESR).
L'initiation d'un circuit autre est disponible pour certains membres d'ESUP-Portail (authentifiés et identifiés via la fédération ESR à nouveau).