| Sommaire |
|---|
...
Introduction
| Info |
|---|
Esup-signature propose une interface d’administration qui permet le suivi des demandes en cours, le paramétrage des circuits de signatures ou des formulaires, ainsi que divers outils qui seront détaillés après. La configuration générale de l'application se fait via le fichier de configuration application.yml avant la compilation du projet voir : Configuration Enfin pour des besoins très précis il est possible d’écrire directement des classes spécifiques pour gérer les sources de données, le pré-remplissage des formulaires ou encore pour décrire des circuits de signatures. |
...
| Remarque |
|---|
Pour avoir accès à l'espace "Admin" l'utilisateur doit disposer du rôle ROLE_ADMIN tel que défini dans la propriété group-mapping-role-admin: du fichier de configuration voir : Configuration securité |
Liste des demandes
...
...
...
Les type de signature
Il existe plusieurs type de signature disponibles dans esup-signature. Voici un tableau qui résume les différents cas :
| Cas d'usage | Types | Sous type |
|---|---|---|
| Dans tous les cas | Signature | Signature simple (signature calligraphique par apposition d'image) Signature avancée (avec un certificat non eIDas) Signature qualifiée (avec certificat eIDas sur support USB) |
Visa | Visuel avec ou sans certificat cachet d'établissement | |
| Dans le cadre d'un circuit à n étapes | Vérification | Étape sans modification du document (étape de validation administrative) |
...
Niveaux légaux de signature eIDAS
| Niveau eIDAS | Caractéristiques | Valeur juridique |
|---|---|---|
| Signature électronique simple (SES) | - Lien faible avec le signataire- Pas forcément basée sur un certificat- Exemple : signature scannée, case à cocher | Preuve recevable en justice, mais force probante faible (peut être contestée facilement). |
| Signature électronique avancée (AES) | - Uniquement sous le contrôle du signataire- Identifie le signataire de manière unique- Détection de toute modification du document- Basée sur un certificat qualifié ou non | Force probante élevée, généralement acceptée dans les contrats en Europe. |
| Signature électronique qualifiée (QES) | - Répond à toutes les conditions de l’avancée- Basée sur un certificat qualifié délivré par un prestataire de services de confiance (QTSP)- Réalisée avec un dispositif qualifié (ex. carte à puce, token, HSM) | Équivaut légalement à une signature manuscrite dans toute l’UE (irréfutable sauf fraude prouvée). |
...
Les moyens de signature
Pour signer, esup-signature met plusieurs moyens à la disposition des utilisateurs en fonction du niveau de signature exigé. Voici les différentes modes possible :
| Type | Utilisable pour | Prérequis | Correspondance pour le paramètre authorized-sign-types |
|---|---|---|---|
| Placage de l’image de signature | Signature simple | imageStamp | |
| Certificat généré automatiquement | Signature avancée | Serveur XPKI | openPkiCert |
| Certificat lié à mon profil | Signature avancée | userCert | |
| Certificat lié à l’étape du circuit | Signature avancée | autoCert | |
| Certificat présent sur mon poste ou sur clé USB | Signature avancée, Signature qualifiée (si certificat eIDas) | nexuCert | |
| Certificat autorisé par le gestionnaire | Signature avancée | groupCert | |
| Certificat cachet d’établissement | Signature avancée, Signature qualifiée (si certificat eIDas) | sealCert |
...
Cycle de vie d'une demande de signature
Une page dédiée au sujet est disponible ici :
...
Liste des demandes
La vue demande est la première vue accessible lorsque que l'on clique sur "Admin" dans la barre de navigation (ou sur la couronne)
Elle permet à l'administrateur de consulter toutes les demandes. Les demandes peuvent être filtrées en fonction de leur statut
Pour autant, l'administrateur ne peut pas consulter les documents, il peut simplement vérifier la liste des événements et si besoin supprimer les demandes.
...
Les circuits
Voir la page dédiée aux circuits : Gestion des circuits
...
Les formulaires
Voir la page dédiée aux formulaires : Gestion des formulaires
Elle permet à l'administrateur de consulter toutes les demandes. Les demandes peuvent être filtrées en fonction de leur statut
Pour autant, l'administrateur ne peut pas consulter les documents, il peut simplement vérifier la liste des événements et si besoin supprimer les demandes.
Les circuits
Voir la page dédiée aux circuits : Gestion des circuits
Les formulaires
| Info |
|---|
L'autre fonction principale d'Esup-signature est la possibilité de mettre rapidement en ligne des formulaires. Cette fonction s'appuie sur les PDF Forms (formulaires présent dans les fichiers PDF). Esup-signature est capable d'analyser les formulaires PDF, d'en effectuer le rendu (via PDF.js) et de stocker les données saisies dans sa base de données. |
| Remarque |
|---|
La mise en place du formulaire basé sur un PDF se fait en 3 étapes : création du circuit des signatures, création du PDF puis import dans Esup-signature |
Création d'un PDF Form
Pour éditer un fichier PDF et créer un formulaire, il faut se doter d'un outils dédié. L'université de Rouen utilise Adobe Acrobat PRO. Sous linux il existe Master PDF Editor (payant)
L'opération consiste à placer les champs de formulaire puis à les configurer de la bonne façon.
Les champs doivent être configurés comme suit:
...
Une nomenclature de nommage des champs peut être utilisée pour signifier à Esup-signature d'opéré un traitement spécifique à un champ. On peut, via un nommage correcte, préciser si le champ doit être pré-rempli par Esup-signature et à quelles étapes le champ est modifiable.
| Remarque |
|---|
Depuis la version 1.2, la nomenclature des champs a changée. De plus, il n'est plus nécessaire de configurer ces comportements directement dans le fichier PDF. Il est maintenant possible de (re)définir la configuration après import du modèle PDF dans esup-signature Les comportements spécifiques sont à configurés dans l'onglet "Calcul" puis la partie "Script de calcul personnalisé" au niveau des propriétés des champs d'Acrobat Pro. |
La syntaxe à utiliser au niveau des scripts de calcul des champs est la suivante :
...
prefill.ldap(person, sn);
...
search.ldap(person, displayName);
...
| Remarque |
|---|
Il n'y a plus d'étape 0. L'étape 1 correspond à la première étape du workflow. Si l'on veut que le créateur saisisse en premier le formulaire, il faut créer une étape 1 avec "visa" et "créateur de la demande" comme participant. |
Voici un exemple de l'édition des champs d'un formulaire dans l'interface administrateur d'esup-signature ("Admin" → "Formulaire" → "Modifier les champs" :
On voit ici les propriétés du champ modifiables via l'interface. Si la syntaxe mise en place dans le modèle PDF Form est correcte, les champs seront pré-configurés. Sinon il est possible de reprendre la configuration sur cet affichage accessible dans le menu "Admin" → "Formulaire" → "Liste des champs".
Sur cette copie d'écran on voit que le champ "prenom" est configuré comme suit : Obligatoire, pré-rempli du "givenName" de l"utilisateur courant, avec une auto-completion qui retour le givenName (exemple pas vraiment utile en temps normal mais qui illustre la possibilité de cumuler pré-remplissage et auto-completion) et enfin, modifiable à l'étape 0.
Esup-signature est fourni avec les classes DefaulExtValue et LdapExtValue. La classe DefaultExtValue est utilisable en mettant "default" dans le nom du service. Elle propose les données (calculées) suivante :
- numéro du jour (day)
- numéro du mois (month)
- numéro du l'année (year)
- date du jour (date)
- heure (time)
- date et heure (dateTime)
- nom prénom de l'utilisateur courant (currentUser)
- un numéro d'ordre (id). Le numéro d'ordre sera incrémenté lors de la dernière étape du circuit configuré pour ce formulaire
Comme c'est le cas pour les classes workflow, vous pouvez créer vos propre classes de données externes en implémentant le type "ExtValue" en reprenant DefaultExtValue.java par exemple.
Classe de pré-remplissage
Pour pré-remplir ou auto-compléter un formulaire, Esup-signature se base une une classe de "pré-remplissage" du type "PreFill". D'origine Esup-signature est fourni avec la classe DefaultPreFill qui prend en charge les données externes de type Default et Ldap. Ceci répond à une grande partie des besoins. Cependant, tout comme cela peut être le cas pour les workflows, il se peut qu'il soit nécessaire de calculer certaines données à pré-remplir spécifiquement pour un formulaire (donnée calculée en fonction de l'utilisateur courant par exemple). Dans ce cas il y a là encore la possibilité d'implémenter votre propre classe de type PreFill (voir DefaultPreFill.java pour l'exemple)
Import du formulaire
Lorsque le formulaire PDF est terminé, il faut l'importer dans Esup-signature. Pour cela il faut aller sur "Admin" puis "Formulaire" puis cliquer sur le bouton bleu "+" et enfin sur l'icone PDF.
Vous devez saisir un nom (technique) et un titre (beau titre), sélectionner votre modèle PDF Form, saisir un rôle pour definir qui peut accéder à ce formulaire, choisir le type de pré-remplissage, un circuit qui aura été créer au préalable et éventuellement un dossier de destination.
Lorsque vous validez le formulaire, Esup-signature analyse le PDF Form et constitue la structure du formulaire. Sur cet exemple, on voit qu'il a bien pris en compte la nomenclature des champs. Il est possible de modifier les informations saisies lors de la création en cliquant sur le bouton jaune "crayon"
Votre formulaire sera disponible sur la page d'accueil des personnes autorisées à y accéder. Voici un exemple du rendu dans Esup-signature :
L'utilisateur peut corriger et compléter le formulaire puis l'enregistrer. Après un premier enregistrement, il aura la possibilité d'envoyer définitivement ça demande en cliquant sur le bouton bleu "lecture" et en saisissant (si besoin) les noms des destinataires
...
Les messages d'information
...
Vous pouvez alors saisir un message ainsi qu'une date de fin de diffusion. Tous les utilisateurs verront ce message et auront la possibilité de le désactiver une fois consulté.
...
Gestion des certificats
Esup-signature propose aux administrateurs la possibilité de partager des certificats "établissement" pour une certaine population (en fonction des rôles des utilisateurs).
L'objectif est de permettre aux utilisateurs de signer électroniquement (avec un certificat donc) sans avoir l'obligation d'avoir un certificat à leur nom dans leur profil esup-signature.
Au moment de la signature, les utilisateurs concernés se verront proposer le certificat correspondant à leur rôle (en plus de leur éventuel certificat personnel).
Pour ajouter un certificat, il faut se rendre dans Admin → Gestion des certificats. Puis lors de l'ajout, choisir le keystore contenant le certificat (PKCS12), choisir les rôles autorisés à l'utiliser et enfin saisir le mot de passe du keystore.
| Remarque |
|---|
| Les utilisateurs non pas de mot de passe à saisir lors de la signature |
...
Gestionnaires des rôles
Depuis la version 1.13, il est possible de déclarer des gestionnaires de rôles. Cela a pour but de permettre à des utilisateurs de créer des circuits et des formulaires à destination des personnes possédants le rôle concerné.
Pour chaque rôle connu dans esup-signature, il est possible d'affecter une ou plusieurs personnes :
| Remarque |
|---|
Dans esup-signature, il y a deux façons d'obtenir des rôles:
|
...
|
...
|
...
|
...
Pour accéder à |
...
l’application il faut impérativement avoir le rôle : ROLE_USER. Pour la partie administration, il faut ROLE_ADMIN Les rôles obtenus seront copiés dans le profil de l'utilisateur. Un utilisateur peut obtenir des rôles du type : staff, student, test, ordre_de_mission, marches, etc.... ceci grâce à des groupes correspondant au pattern group-to-role-filter- |
...
pattern (le texte qui suit le préfixe est converti en rôle ex : ROLE_ORDRE_DE_MISSION) ou à l'aide de mapping-groups-roles Les rôle autres (que user et admin) peuvent être utilisés lorsque vous configurez un formulaire ou un circuit pour y restreindre les accès. |
| Avertissement |
|---|
Pour une explication détaillée du fonctionnement de la sécurité, voir : Configuration de la sécurité |
...
Le switch user permet à l'administrateur de prendre la place d'un autre utilisateur. Cela peut être utile pour reproduire ou constater un problème spécifique à un utilisateur. Toutefois, pour des raisons de confidentialité, cette option n'est pas active par défaut. Pour débloquer cette fonctionnalité sur plateforme de test, il faut modifier le fichier application.yml et mettre la valeur valeur enable-su à true
...
Profils techniques de signature (ETSI)
À titre informatif, voici la liste des profils de signature reconnus pas DSS Signature
Non ETSI / NOT_ETSI : signatures techniques reconnues par DSS mais non conformes aux standards européens ETSI.
Profils "historiques" (BES, EPES, T, C, X, XL, A, ERS, etc.) :
Définis avant les profils "Baseline".
Très détaillés, multiples variantes → interopérabilité plus compliquée.
Toujours valides légalement, mais progressivement supplantés par les profils Baseline.
Profils Baseline (Baseline B / T / LT / LTA) :
Définis par ETSI EN 319 122/132/142/162 (eIDAS).
Objectif : simplifier et normaliser.
4 niveaux clairs et hiérarchiques :
B (Basic) → signature simple.
T (Timestamp) → preuve temporelle.
LT (Long Term) → ajoute certificats + infos de validation.
LTA (Archival) → ajoute archivage long terme.
| Famille | Sous-groupe | Niveau | Description |
|---|---|---|---|
| XML | Non ETSI | XML_NOT_ETSI | Signature XML non conforme ETSI. |
| Historique | XAdES_BES | Basic Electronic Signature (signature simple). | |
| XAdES_EPES | BES + politique de signature. | ||
| XAdES_T | Ajout d’un timestamp. | ||
| XAdES_LT | Intègre infos de validation (certificats, OCSP/CRL). | ||
| XAdES_C | Références aux infos de validation (sans les inclure). | ||
| XAdES_X | T + validation + timestamps supplémentaires. | ||
| XAdES_XL | XL = X + toutes les infos nécessaires à la validation future. | ||
| XAdES_A | Archivage long terme (timestamps périodiques). | ||
| XAdES_ERS | Archivage via Evidence Record Syntax (RFC 4998). | ||
| Baseline | XAdES_BASELINE_B | Profil ETSI Baseline – signature simple. | |
| XAdES_BASELINE_T | Baseline + timestamp. | ||
| XAdES_BASELINE_LT | Baseline + validation long terme. | ||
| XAdES_BASELINE_LTA | Baseline + archivage long terme. | ||
| CMS | Non ETSI | CMS_NOT_ETSI | Signature CMS non conforme ETSI. |
| Historique | CAdES_BES | Basic Electronic Signature (CMS). | |
| CAdES_EPES | BES + politique de signature. | ||
| CAdES_T | Ajout d’un timestamp. | ||
| CAdES_LT | Intègre infos de validation. | ||
| CAdES_C | Références aux infos de validation. | ||
| CAdES_X | T + validation + timestamps supplémentaires. | ||
| CAdES_XL | XL = X + toutes les infos de validation incluses. | ||
| CAdES_A | Archivage long terme (timestamps périodiques). | ||
| CAdES_ERS | Archivage avec ERS. | ||
| Baseline | CAdES_BASELINE_B | Baseline simple. | |
| CAdES_BASELINE_T | Baseline + timestamp. | ||
| CAdES_BASELINE_LT | Baseline + validation long terme. | ||
| CAdES_BASELINE_LTA | Baseline + archivage long terme. | ||
| Non ETSI | PDF_NOT_ETSI | Signature PDF non conforme ETSI. | |
| Historique (PKCS7) | PKCS7_B | Signature PKCS#7 basique. | |
| PKCS7_T | PKCS#7 + timestamp. | ||
| PKCS7_LT | PKCS#7 + validation long terme. | ||
| PKCS7_LTA | PKCS#7 + archivage long terme. | ||
| Historique (PAdES) | PAdES_BES | Signature basique (PDF). | |
| PAdES_EPES | BES + politique de signature. | ||
| PAdES_LTV | Long Term Validation (spécifique PDF). | ||
| Baseline | PAdES_BASELINE_B | Baseline simple. | |
| PAdES_BASELINE_T | Baseline + timestamp. | ||
| PAdES_BASELINE_LT | Baseline + validation long terme. | ||
| PAdES_BASELINE_LTA | Baseline + archivage long terme. | ||
| JSON | Non ETSI | JSON_NOT_ETSI | Signature JSON non conforme ETSI. |
| Baseline | JAdES_BASELINE_B | Baseline simple. | |
| JAdES_BASELINE_T | Baseline + timestamp. | ||
| JAdES_BASELINE_LT | Baseline + validation long terme. | ||
| JAdES_BASELINE_LTA | Baseline + archivage long terme. |
...