Fermer×
10 février 2020

Authentification SAML pour Moodle

Ce texte a initialement été publié par DECclic, avant la création d’Éductive.

(en cours de rédaction)

Pour permettre aux personnes utilisant Moodle dans votre établissement de s’authentifier plus facilement, vous pouvez utiliser le plugin d’authentification SAML2 et faire un lien vers un fournisseur d’identité externe (IdP), que ce soit ADFS ou AzureAD ou tout autre service similaire.

Dans Moodle, le plugin SAML2 est installé mais désactivé par défaut. Avant de l’activer, il faut le configurer. On retrouve tous les plugins d’authentification sur cette page:

url.de.votre.moodle/admin/settings.php?section=manageauths

Ce modeste tutoriel ne couvre que la partie Moodle. La personne responsable de mettre en place le service d’authentification doit avoir les accès nécessaires à la console du fournisseur d’identité (ici Microsoft) et faire les configurations nécessaires de ce côté.

Voir ce document préparé par Michel Blanchard (Cégep du Vieux Montréal) qui a fait la mise en place pour le Moodle de son établissement.

Voir aussi à ce propos cette ressource (en anglais): https://support.ecreators.com.au/hc/en-us/articles/212885666-Customer-Side-ADFS-Configuration-Guide

Il faut ensuite déterminer quel attribut du fournisseur d’identité correspondra au nom d’utilisateur dans Moodle. Des modifications seront probablement nécessaires dans Moodle, notamment lorsque les noms d’utilisateurs des enseignants déjà existants dans Moodle correspondent au numéro d’employé et que l’identifiant standard est différent dans l’AD. Mais rien ne vous empêche de tester la connexion, idéalement avec un compte utilisateur n’existant pas encore dans Moodle. Pour ce faire, vous devrez activer le paramètre « Auto create users ».

Avec quelques précautions, vous pouvez tester directement en production. Assurez-vous que l’option « dual login » reste activée (oui). Un bouton « Login VIA SAML » (on peut changer le libellé) s’ajoutera à la page de connexion standard de Moodle et permettra d’appeler le fournisseur d’identité sans perturber les utilisateurs existants qui continueront à voir le formulaire habituel.

Nous recommandons toutefois que vous désactiviez complètement le plugin SAML2 entre vos séances de tests.

L’appariement des données

Il va de soi que, lors de la création automatique d’un nouveau compte, certains champs doivent être remplis: nom, prénom et courriel.

Lorsque vous utilisez le service d’inscription Admin Cégep (c’est le cas de la plupart des collèges), vous devez aussi vous assurer que le champ numéro d’identification sera également rempli. C’est ce numéro qui fait le lien entre les données d’inscription et les comptes utilisateurs dans Moodle. Généralement, c’est le numéro de DA qui sert de numéro d’identification pour les étudiants, ce qui ne devrait pas poser problème. Toutefois, pour les enseignants, c’est le numéro d’employé qui sert de numéro d’identification. Il faut donc un attribut qui correspond au DA ou au numéro d’employé.

Mise en production

Lorsque vos tests sont concluants, veuillez communiquer avec DECclic pour planifier le déploiement définitif. Des correspondances seront sans doute nécessaires et il faudra modifier en lot la méthode d’authentification de l’ensemble des utilisateurs (par exemple, de DB à SAML2) et gérer les quelques comptes (parfois assez nombreux) de comptes manuels créés au fil du temps dans Moodle.

À propos de l'auteur

François Lizotte

Après avoir enseigné le français au collège de Bois-de-Boulogne durant quelques années, il devient coordonnateur de la corporation DECclic en 2007 et rejoint l’équipe de Collecto lors de la fusion des organismes en 2020, à titre de chargé de projet pour Moodle.

S’abonner
Notification pour
guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires