...
L'instance esup-signature d'ESUP-Portail a vocation à faciliter facilite la dématérialisation et le flux de gestion de ces documents, notamment vis-à-vis de ces signatures.
Ainsi l'instance esup-signature d'ESUP-Portail doit permettre permet à son/sa président(e) ou un de ses représentants par délégation de signer des documents qui engagent ESUP-Portail.
Cette même instance doit permet aussi permettre de faire signer un partenaire ou d'utiliser un document déjà signé pour qu'il soit sur-signé par ESUP-Portail.
Dans le cas où le document est signé numériquement (et ne correspond pas une 'simple' signature calligraphique / apposition d'image) via une autre instance d'esup-signature ou tout autre outil, l'instance d'esup-signature d'ESUP-Portail doit permettre de conserver conserve les signatures numériques déjà présentées. Si les documents signés via ESUP-Portail de manière dématérialisée ne nécessitent pas l'usage d'une signature qualifiée (type RGS**) de personnes physiques, on souhaite cependant préserver préserve ainsi toute signature de ce type qui aurait pu être utilisée en amont de la signature ESUP-Portail par un de nos partenaires.
...
En résumé, d'un point de vue pratique, ces considérations nous ont amené à mettre en place une l'instance esup-signature d'ESUP-Portail proposant propose ces caractéristiques :
- authentification shibboleth avec des rôles affectés en fonction de l'attribut eduPersonPrincipalName (eppn) sans lien direct avec un annuaire LDAP ;
- un usage systématique d'un certificat cachet serveur RGS** tel que le supporte esup-signature.
...
- en passant par OpenSC, qui détermine alors le driver libre à utiliser en fonction de la clef ;
- cette possibilité a l'avantage d'utiliser des logiciels libres directement disponibles via le sysème de paquets de votre distribution (opensc)
- cela présuppose cependant qu'un driver libre supporte effectivement la clef proposée ; si les certificats idprime-940 sont supportés en opensc 0.23.0, les idprime-940c ne le sont que sur la toute dernière 0.24.0 sortie en déc. 2023 et non encore disponible à cette date par exemple ; plus d'informations sur la page OpenSC sur ce même wiki.
- en passant directement par le driver / librairie propriétaire
- cette option a l'avantage d'utiliser le driver officiel livré par l'entreprise vendant le support matériel du cachet ; le support est donc normalement garanti (normalement sur tous les OS dont linux si vous installez esup-signature sur un serveur linux ; fortement recommandé)
- cela a aussi l'avntage avantage de proposer un process de signature plus rapide (constatation à l'usage)
→ si nous avons bien validé le fonctionnement de notre cachet idprime-940c avec le driver libre proposé dans opensc 0.24.0, nous avons opté malgré tout pour l'usage du driver propriétaire.
Le service https://esup-signature.esup-portail.org est déclaré dans la fédération ESR portée par Renater : https://registry.federation.renater.fr/entities/view/2294
...