Contexte
Le consortium ESUP-Portail gère un nombre de plus en plus important de documents qui doivent être signés par ESUP-Portail et souvent par un établissement membre.
Ces documents correspondent à des adhésions, des conventions, des devis, facturations etc.
L'instance esup-signature d'ESUP-Portail a vocation à faciliter la dématérialisation et le flux de gestion de ces documents, notamment vis-à-vis de ces signatures.
Ainsi l'instance esup-signature d'ESUP-Portail doit permettre à son/sa président(e) ou un de ses représentants par délégation de signer des documents qui engagent ESUP-Portail.
Cette même instance doit aussi permettre de faire signer un partenaire ou d'utiliser un document déjà signé pour qu'il soit sur-signé par ESUP-Portail.
Dans le cas où le document est signé numériquement (et ne correspond pas une 'simple' signature calligraphique / apposition d'image) via une autre instance d'esup-signature ou tout autre outil, l'instance d'esup-signature d'ESUP-Portail doit permettre de conserver les signatures numériques déjà présentées. Si les documents signés via ESUP-Portail de manière dématérialisée ne nécessitent pas l'usage d'une signature qualifiée (type RGS**) de personnes physiques, on souhaite cependant préserver toute signature de ce type qui aurait pu être utilisée en amont de la signature ESUP-Portail par un de nos partenaires.
Caractéristiques d'esup-signature.esup-portail.org
En résumé, d'un point de vue pratique, ces considérations nous ont amené à mettre en place une instance esup-signature d'ESUP-Portail proposant ces caractéristiques :
- authentification shibboleth avec des rôles affectés en fonction de l'attribut eduPersonPrincipalName (eppn) sans lien direct avec un annuaire LDAP ;
- un usage systématique d'un certificat cachet serveur RGS** tel que le supporte esup-signature.
Installation matérielle
L'instance esup-signature d'ESUP-Portail est installée et gérée par l'Université de Rouen Normandie ; elle correspond à une Machine Virtuelle opérée par la solution VMware vSphere de l'université.
Le certificat cachet serveur propre à l'esup-signature d'ESUP-Portail a été acquis auprès de certinomis par le consortium lui-même, un membre de l'université de Rouen en est le mandataire et le responsable technique.
Ce certificat cachet serveur se matérialise par :
- une carte à puce SIM "Gemalto IDPrime 940C"
- intégrée dans un lecteur USB de carte à puce "Feitian SCR301"
- lui-même branché dans un hub USB réseau "Digi AnywhereUSB® 8 Plus"
- et monté par linux en périphérique USB via "AnywhereUSB Manager"
Configurations logicielles
Au 27/11/2023 l'OpenSC utilisée sur la VM correspond à la branche suivante https://github.com/vbonamy/OpenSC/tree/gemalto-idprime-940c ; la future 0.24.0 devant permettre le support de cette carte SIM "Gemalto IDPrime 940C" ; plus d'informations sur la page OpenSC sur ce même wiki.
Le service https://esup-signature.esup-portail.org est déclaré dans la fédération ESR portée par Renater : https://registry.federation.renater.fr/entities/view/2294
L'usage de la signature par certificat cachet serveur est systématique : le cachet serveur permet la réalisation de cachets systématiques côté serveur en masse sans requérir à une installation ou configuration supplémentaire pour les clients signataires.
La demande d'une signature par le/la président(e) d'ESUP-Signature (ou délégataire) est possible à toute personne authentifiée (fédération ESR).
L'initiation d'un circuit autre est disponible pour certains membres d'ESUP-Portail (authentifiés et identifiés via la fédération ESR à nouveau).