Authentification SAML pour Moodle

(en cours de rédaction)

Pour permettre aux personnes utilisant Moodle dans votre établissement de s’authentifier plus facilement, vous pouvez utiliser le plugin d’authentification SAML2 et faire un lien vers un fournisseur d’identité externe (IdP), que ce soit ADFS ou AzureAD ou tout autre service similaire.

Dans Moodle, le plugin SAML2 est installé mais désactivé par défaut. Avant de l’activer, il faut le configurer. On retrouve tous les plugins d’authentification sur cette page:

url.de.votre.moodle/admin/settings.php?section=manageauths

Ce modeste tutoriel ne couvre que la partie Moodle. La personne responsable de mettre en place le service d’authentification doit avoir les accès nécessaires à la console du fournisseur d’identité (ici Microsoft) et faire les configurations nécessaires de ce côté.

Voir ce document préparé par Michel Blanchard (Cégep du Vieux Montréal) qui a fait la mise en place pour le Moodle de son établissement.

Voir aussi à ce propos cette ressource (en anglais): https://support.ecreators.com.au/hc/en-us/articles/212885666-Customer-Side-ADFS-Configuration-Guide

Il faut ensuite déterminer quel attribut du fournisseur d’identité correspondra au nom d’utilisateur dans Moodle. Des modifications seront probablement nécessaires dans Moodle, notamment lorsque les noms d’utilisateurs des enseignants déjà existants dans Moodle correspondent au numéro d’employé et que l’identifiant standard est différent dans l’AD. Mais rien ne vous empêche de tester la connexion, idéalement avec un compte utilisateur n’existant pas encore dans Moodle. Pour ce faire, vous devrez activer le paramètre « Auto create users ».

Avec quelques précautions, vous pouvez tester directement en production. Assurez-vous que l’option « dual login » reste activée (oui). Un bouton « Login VIA SAML » (on peut changer le libellé) s’ajoutera à la page de connexion standard de Moodle et permettra d’appeler le fournisseur d’identité sans perturber les utilisateurs existants qui continueront à voir le formulaire habituel.

Nous recommandons toutefois que vous désactiviez complètement le plugin SAML2 entre vos séances de tests.

L’appariement des données

Il va de soi que, lors de la création automatique d’un nouveau compte, certains champs doivent être remplis: nom, prénom et courriel.

Lorsque vous utilisez le service d’inscription Admin Cégep (c’est le cas de la plupart des collèges), vous devez aussi vous assurer que le champ numéro d’identification sera également rempli. C’est ce numéro qui fait le lien entre les données d’inscription et les comptes utilisateurs dans Moodle. Généralement, c’est le numéro de DA qui sert de numéro d’identification pour les étudiants, ce qui ne devrait pas poser problème. Toutefois, pour les enseignants, c’est le numéro d’employé qui sert de numéro d’identification. Il faut donc un attribut qui correspond au DA ou au numéro d’employé.

Mise en production

Lorsque vos tests sont concluants, veuillez communiquer avec DECclic pour planifier le déploiement définitif. Des correspondances seront sans doute nécessaires et il faudra modifier en lot la méthode d’authentification de l’ensemble des utilisateurs (par exemple, de DB à SAML2) et gérer les quelques comptes (parfois assez nombreux) de comptes manuels créés au fil du temps dans Moodle.