Introduction
Aperçu du Service eduroam pour les visiteurs (eVA)
Avec le Service eduroam pour les visiteurs (eVA), vous pouvez créer un compte eduroam temporaire pour les personnes de passage à l’organisation. De cette façon, le visiteur profite d’un réseau sans fil aussi sûr et fiable que les étudiants, les chercheurs, les membres du corps professoral et les employés. Ce service procure aussi à l’organisation quelques données essentielles sur les visiteurs qui utiliseront son réseau, tout en éliminant le fardeau et les frais supplémentaires que suppose la gestion des comptes d’invité et des comptes temporaires pour l’administration et le département IT.
En tant qu’administrateur eVA de l’organisation, vous pouvez créer et gérer le profil eVA et les autorisations qui seront attribués aux utilisateurs sous votre responsabilité. Vous avez aussi accès aux autres fonctionnalités du service eVA[1]. L’administrateur eVA crée et gère le profil des utilisateurs, alors que les membres de l’équipe CERT (équipe d’intervention d’urgence en informatique) peuvent voir, modifier et supprimer tous les comptes eduroam temporaires de l’organisation.
Avantages
Visiteur
- Il utilise le réseau eduroam sans les risques que soulèvent les réseaux ouverts pour les invités et les autres réseaux sans fil inconnus, moins sûrs, à proximité de l’organisation.
- Il obtient rapidement et efficacement une connexion sécurisée au réseau sans fil.
Organisation
- Elle laisse ses invités accéder à son réseau avec un minimum d’efforts administratifs de sa part au niveau IT.
- Elle sait qui utilise son réseau et garde la maîtrise de tous les comptes.
- Elle a l’assurance que les comptes sont temporaires et seront automatiquement supprimés à la fin de la période d’accès établie, sans qu’elle ait besoin d’intervenir.
- Elle peut abandonner les autres réseaux sans fil puisqu’eduroam répond à tous ses besoins en la matière.
Aucune installation requise – un navigateur Internet suffit.
Fonctionnment
Pour créer un compte, utilisez le portail en ligne eVA : https://eva.eduroam.ca
Le personnel de l’organisation aura lui aussi accès à ce portail Web intuitif (en fonction des autorisations qui lui auront été accordées), ce qui lui permettra d’attribuer un compte eduroam temporaire aux visiteurs. Une fois le compte créé, le visiteur recevra un courriel ou un texto (SMS) contenant les identifiants avec lesquels il pourra se connecter. Ces identifiants sont automatiquement périmés à la fin de la période fixée à la création du compte.
Principes généraux
Les étudiants et les employés de l’organisation utilisent le réseau sécurisé et fiable eduroam grâce au compte qu’a ouvert pour eux l’institution. Pour que ce réseau garde sa sécurité et sa fiabilité, il est impératif qu’on empêche les personnes non autorisées d’y accéder.
En tant qu’administrateur eVA, votre rôle consiste à laisser les employés et les membres de l’organisation (qui font office d’hôte) accorder aux visiteurs un accès temporaire au réseau eduroam. Pour que celui-ci reste sûr et fiable, suivez les principes que voici à la création du compte et du profil lors de la configuration et de l’administration du service eVA.
- La responsabilité des comptes créés avec le service eVA incombe à l’organisation. La même remarque s’applique aux comptes que les invités créent par eux-mêmes, grâce à la fonction « événement SMS ».
- L’accueil des invités, l’aide qui leur est procurée et les conseils qu’on leur dispense, de même que le bon fonctionnement du réseau, sont également sous la responsabilité de l’organisation.
- Le(s) visiteur(s) doit(vent) venir à l’organisation à des fins de recherche ou d’éducation.
- Les comptes eVA ne devraient durer que le temps que le visiteur passe à l’organisation.
- Pour que la connexion reste sûre, le visiteur devrait être encouragé à configurer son appareil en utilisant le profil CAT[2] du service eVA.
[2] On trouvera le lien menant à l’outil utilisé pour créer un profil CAT à la partie « eVA – Consignes aux visiteurs » du site Web de CANARIE : https://www.canarie.ca/fr/document/caf-eva-consignes-aux-visiteurs/
Fonctions de l’administrateur eVA
Créer un nouvel administrateur eVA
En tant qu’administrateur du service eVA de l’organisation, vous pouvez créer un compte d’administrateur eVA pour d’autres membres de l’institution.
Marche à suivre
- Avec le curseur, survolez votre nom dans le coin supérieur droit du portal et sélectionnez « Invitations administrateur ».
- Sélectionnez « Créer un administrateur ».
- Saisissez l’adresse courriel de la personne à qui vous souhaitez donner le rôle d’administrateur de l’organisation en précisant le niveau d’accès que vous voulez lui accorder.
REMARQUE : L’administrateur de l’organisation peut créer et supprimer d’autres administrateurs de l’organisation. Nous vous convions à faire preuve de discernement quand vous attribuez cette fonction à quelqu’un.
- En cliquant « Soumettre », la personne concernée recevra un courriel d’invitation lui donnant accès au portail.
Vous ne pourrez voir que les administrateurs de l’organisation que vous avez invités, pas ceux invités par d’autres administrateurs du service eVA. Pour obtenir la liste complète des administrateurs du service eVA de l’organisation, veuillez écrire à [email protected].
- Si la personne concernée ne reçoit pas le courriel d’invitation, priez-la de vérifier si dernier n’a pas échoué parmi les messages indésirables ou les pourriels.
- Vous trouverez d’autres précisions sur le rôle « administrateur CERT de l’organisation » à la partie 3 de ce guide.
Supprimer un administrateur eVA
Vous pouvez retrancher un administrateur eVA que vous avez créé en sélectionnant « Invitations administrateur » dans le coin supérieur droit du portail, puis en cliquant l’icône « supprimer » .
Vous seul pouvez voir les administrateurs de l’organisation que vous avez créés. Pour obtenir la liste complète des administrateurs eVA de l’organisation ou demander la suppression d’un administrateur qui n’apparaît pas sur sa liste, le contact technique principal de l’organisation devra communiquer avec CANARIE en écrivant à [email protected].
Créer et gérer un profil d’utilisateur
Pour qu’un membre de l’organisation puisse agir en tant qu’hôte et créer des comptes temporaires à l’intention des visiteurs, il faut d’abord créer un profil qui établira les autorisations accordées au membre en question. Créer un tel profil est un jeu d’enfant pour l’administrateur eVA de l’organisation, mais il est important de bien réfléchir à la façon dont le profil sera configuré et aux permissions qui y seront rattachées pour éviter que des visiteurs non autorisés accèdent sciemment ou accidentellement au réseau.
Sans profil, l’utilisateur pourra se connecter au service eVA, mais il ne pourra s’en servir afin de créer un compte pour les visiteurs. Cette remarque s’applique aussi aux comptes des administrateurs de l’organisation. Par conséquent, si vous voulez créer des comptes pour les invités et les événements SMS, assurez-vous d’avoir un profil.
Types de profil
Le Service eduroam pour les visiteurs accepte trois sortes de profil.
- Profil individuel
Il n’est valable que pour une personne et repose sur l’adresse courriel de cette dernière.
- Profil de groupe
Il s’applique à plusieurs utilisateurs, en fonction des adresses courriel que renferme le groupe. Chaque groupe a sa propre configuration. Si plusieurs utilisateurs ont la même configuration, nous préconisons la création d’un profil de groupe plutôt que plusieurs profils individuels.
- Profil basé sur le rôle
Ce profil s’applique aux groupes d’utilisateurs qui assument des rôles identiques, selon l’attribut eduPersonScopedAffiliation. Il pourrait, par exemple, s’agir d’un employé ou d’un membre de l’organisation. Le système de gestion fédérée des identités confère cet attribut à l’utilisateur quand il se connecte au service eVA.
La valeur de l’attribut est déterminée par le système de gestion des identités de l’institution (LDAP ou Active Directory, par exemple).
- L’attribut eduPersonScopedAffiliation du service eVA accepte les valeurs « employee » et « staff ». Pour en savoir plus sur cet attribut, cliquez ici.
- Quand l’utilisateur possède un profil basé sur le rôle et un profil individuel, ce sont les autorisations associées au profil individuel qui l’emportent. Il est possible de créer un profil basé sur le rôle configuré globalement pour un groupe important d’utilisateurs, puis de donner un profil personnel avec une configuration différente à l’un d’entre eux (assorti d’autres droits, par exemple).
Droits associés au profil
Quand on crée un profil, on y associe une ou plusieurs des autorisations que voici.
- L’utilisateur possédant ce profil peut ajouter des visiteurs.
- L’utilisateur possédant ce profil peut télécharger des lots de visiteurs (créer des comptes pour les visiteurs par téléversement d’un fichier .csv).
- L’utilisateur possédant ce profil peut créer des groupes (créer des groupes de visiteurs eVA sans liens avec une personne en particulier).
- L’utilisateur possédant ce profil peut créer des événements SMS (créer des événements temporaires permettant au visiteur d’accéder au réseau sans fil eduroam grâce à un mot de passe envoyé par texto).
- Ceci est une équipe[3].
N’accordez les droits L’utilisateur possédant ce profil peut créer des groupes et L’utilisateur possédant ce profil peut créer des événements SMS qu’à très peu d’utilisateurs, car ces fonctions permettent la création d’un compte eduroam temporaire sans qu’on sache exactement qui s’en servira. L’usage inapproprié de ces fonctions pourrait avoir une incidence négative sur les réseaux de l’organisation et ceux des autres fournisseurs du service eduroam.
Pour créer un profil
- Connectez-vous au Service eduroam pour les visiteurs à https://eva.eduroam.ca
- Dans le menu principal, cliquez Admin > Profils et sélectionnez « Créer un profil ».
L’écran que voici apparaît.
- Choisissez une des trois options suivantes :
- Profil individuel – profil personnel basé sur l’adresse courriel de l’utilisateur
- Profil de groupe – profil de groupe basé sur les adresses courriel des utilisateurs du groupe
- Profil basé sur le rôle – profil basé sur l’attribut eduPersonScopedAffiliation de l’utilisateur
Remarque : Une nouvelle option a été ajoutée au profil de groupe et au profil basé sur le rôle (Ceci est une équipe). Nous y reviendrons.
Description des champs du profil basé sur l’adresse courriel
Pour voir les profils créés antérieurement, dans le menu principal, cliquez Admin > Profils.
- Cliquez pour modifier le profil.
- Cliquez pour supprimer le profil.
- Cliquez pour modifier ou supprimer une adresse courriel. Cette icône n’apparaît qu’avec le profil de groupe.
En supprimant un profil, vous mettrez fin aux droits accordés à l’utilisateur ou aux utilisateurs qui possèdent ce profil. Toutefois, les comptes temporaires des visiteurs créés par l’utilisateur resteront actifs jusqu’à ce que la période fixée parvienne à échéance.
Équipes eVA
L’administrateur eVA de l’organisation peut désormais ajouter un profil de groupe et un profil basé sur un rôle à une équipe. Les membres de l’équipe possédant un profil de groupe ou un profil basé sur un rôle pourront gérer les comptes d’invités que créent les autres membres de l’équipe. Cette fonctionnalité s’avère particulièrement utile avec les profils de groupe ou basé sur un rôle créés en vue de gérer un comptoir d’aide, d’inscription ou d’accueil.
Pour ajouter un profil à l’équipe, cochez Ceci est une équipe au bas de la liste des autorisations, quand vous créez le profil de groupe ou le profil basé sur un rôle.
On peut ajouter le profil de groupe ou le profil basé sur un rôle à plusieurs équipes, car les équipes ne s’entrecoupent pas (chacune est une entité distincte). L’utilisateur qui possède un profil de groupe ou un profil basé sur un rôle dans l’équipe verra les comptes de visiteur créés par les autres membres de l’équipe. Cette fonctionnalité n’est pas disponible avec le profil individuel.
Créer un événement SMS d’un jour
Grâce à cette fonctionnalité, l’organisation peut laisser le visiteur ouvrir lui-même un compte temporaire d’un jour au service eduroam au moyen du mot-clé qui lui est envoyé par texto.
Pour voir ou modifier un mot-clé, cliquez Admin > Texto d’un jour – Mots clés.
Les options sont les suivantes :
- Envoyer code texto quotidien avec courriel
- Cliquez le mot-clé pour voir le texto envoyé ou affiché pour cette date.
- Cliquez l’icône pour modifier les détails du mot-clé du texto d’un jour. Vous ne pourrez changer que le nombre maximal de visiteurs autorisés à accéder simultanément au réseau grâce au mot-clé (le mot-clé lui-même ne peut être modifié).
- Cliquez l’icône pour supprimer le mot-clé.
Pour voir l’affiche sur l’activité texto d’un jour, allez à Admin > Mots-clés texto d’un jour.
L’affiche s’actualise automatiquement. Vous pourrez l’imprimer afin de la placarder à des endroits stratégiques sur le campus ou vous en servir comme une page HTML qui apparaîtra sur les tablettes et d’autres écrans.
- Seuls les administrateurs eVA de l’organisation ont accès au mot-clé et à l’affiche de l’activité texto d’un jour, mais on peut autoriser d’autres utilisateurs de l’organisation à créer des activités SMS ordinaire (option disponible à la création du profil).
- Vous trouverez les instructions sur la création des événements SMS ordinaires dans :
Prévenir un usage abusif des événements SMS
La fonction « activité SMS » permet à un grand groupe de visiteurs d’accéder simultanément au réseau eduroam sans que cela alourdisse la charge administrative de l’organisation. Cependant, puisque l’identité de ceux qui accèdent au réseau de cette façon est inconnue, les risques d’un usage non autorisé s’en trouvent accrus.
Les comptes desservis par texto (SMS) étant autogérés, il est impossible d’identifier les personnes qui accèdent au compte eduroam des visiteurs. Lorsqu’un mot-clé est largement diffusé, le risque d’un usage frauduleux augmente.
Pour atténuer ce risque, veuillez suivre les recommandations que voici.
À FAIRE Diffusez le mot-clé (avec la date et le numéro de téléphone) d’une des façons suivantes :
- imprimez-le sur l’écusson des visiteurs;
- remettez une carte de visite sur lequel il est inscrit;
- affichez-le sur la diapositive d’une présentation;
- diffusez-le sur l’intranet des employés;
- intégrez-le à une diffusion ciblée;
- présentez-le sur un écran ou des cartes, près du comptoir d’inscription ou d’accueil afin que les visiteurs puissent le voir.
À ÉVITER Ne diffusez pas le mot de passe d’une des façons suivantes :
- sur les réseaux sociaux (Twitter, par exemple);
- dans un bulletin d’information;
- sur un site Web public ou dans un endroit (réel ou virtuel) où n’importe qui pourra le voir, même ceux qui n’ont pas le droit d’accéder au réseau eduroam.
Aperçu « Tous les visiteurs »
L’administrateur eVA de l’organisation peut voir le compte de tous les visiteurs de son organisation. Cependant, seuls les membres CERT ou les utilisateurs qui ont créé le compte pourront le modifier et le supprimer.
Dans le menu principal, cliquez Admin > Tous les visiteurs pour avoir un aperçu des comptes (y compris ceux marqués « Future », « Actif», « Terminé» et « Expiré»).
Rôle des membres de l’équipe d’intervention informatique d’urgence (CERT)
Les membres de l’équipe CERT peuvent voir, modifier et supprimer le compte des visiteurs de leur organisation.
Voir, modifier et supprimer un compte de visiteur
Dans le menu principal, cliquez CERT > Tous les visiteurs
Les options sont les suivantes :
- Recherche un compte;
- modifier un compte (cliquez le lien dans la colonne « Identifiant de l’invité »);
- cliquer pour supprimer le compte.
Voir et modifier le profil d’un utilisateur
L’utilisateur CERT peut aussi modifier le profil d’un d’utilisateur et, advenant un incident ou un problème quelconque, en changer les paramètres afin d’éviter un usage non autorisé.
Dans le menu principal, cliquez CERT > Tous les visiteurs
- Recherche un compte;
- modifier un compte (cliquez le lien dans la colonne « Nom du profils »);
- cliquer pour supprimer le compte.
Jeux de profils et de droits recommandés
En tant qu’administrateur eVA de l’organisation, vous pouvez, à votre discrétion, établir le profil des utilisateurs de l’institution. Pour faciliter ce processus et la gestion des comptes de groupe ains que des événements SMS[4], vous voudrez-peut-être accorder des autorisations plus importantes à certains « super utilisateurs », tout en laissant les membres de l’organisation et les employés ordinaires créer un petit nombre de comptes individuels, valables pour une période déterminée.
Voici la configuration d’un profil à titre d’exemple.
N’attribuez le privilège « création de groupes » et « création d’événements SMS » qu’à un très petit nombre d’utilisateurs. En effet, ces fonctions permettent à l’utilisateur de créer des comptes eduroam temporaires sans qu’on sache qui s’en servira exactement. Mal utiliser ces fonctions pourrait mettre en danger le réseau sans fil de l’organisation.
Aide aux administrateurs eVA de l’organisation
Vous êtes le point de contact des utilisateurs du service eVA de votre organisation. Cependant, si vous avez besoin d’aide ou désirez plus d’informations, envoyez un courriel à CANARIE à l’adresse [email protected].
[4] Sauf les événements texto d’un jour, qui ne peuvent être créés et gérés que par l’administrateur eVA de l’organisation.