Authentification SAMLv2

* Disposer du dossier **<Install DD>/add-ons/valve_saml2** contenant tous les fichiers nécessaires à la mise en place de la valve d’authentification SAMLv2 dans le serveur Tomcat. Le placement de ces fichiers est décrit dans ce document.

16

** Le dossier apache-tomcat : transposé à **<DD Install>/apache-tomcat**

17

*** Le sous-dossier lib : librairies et fichier de configuration des logs à placer dans **<DD Install>/apache-tomcat/lib**

18

*** Le sous-dossier webapps : ACS dans un .war à placer dans **<DD Install>/apache-tomcat/webapps**

19

** Le dossier resources_samples : exemples de fichiers XML des métadonnées de l’IdP et de fichier .properties des paramètres de sécurité à éditer et placer à l’emplacement voulu.

20

** Le dossier sp_metadata : Le fichier XML de métadonnées du SP DigDash.

21

22

* Pour le moment, seule la déconnexion initiée par le SP (SP-Initiated SLO) est prise en charge.

23

* Les manipulations suivantes sont à réaliser le serveur DigDash **stoppé**.

24

* L’utilisateur à authentifier doit exister à la fois chez l’IdP et dans le LDAP.

25

26

(% class="box warningmessage" %)

27

(((

28

Il est conseillé d’avoir au moins un utilisateur ayant les droits d’ajout d’utilisateurs dans le LDAP avant d’installer la valve SAMLv2, ceci afin d’éviter les échecs d’authentification SSO dès les premières connexions pour cause d’absence de tel utilisateur dans le LDAP.

29

)))

30

31

**Échanges mutuels des métadonnées du SP et de l’IdP**

32

33

Les deux parties (Identity Provider et Service Provider) devront au préalable s’échanger mutuellement leurs métadonnées respectives sous la forme de fichiers XML . Ces métadonnées permettront notamment de connaître leur point d’entrée respectif et les détails des échanges sécurisés.

34

35

= Configuration du serveur DigDash =

36

37

== Copie des librairies ==

38

39

Copiez les librairies ainsi que le fichier de configuration des logs du dossier **<install DD>/add-ons/valve_saml2/apache-tomcat/lib** dans le dossier :

(% class="box" %)

(((

<Install DD>/apache-tomcat/lib

)))

Fichiers à copier :

|saml2-valve.jar|slf4j-api-1.7.12.jar

49

|commons-codec-1.10.jar|log4j-1.2.15.jar

50

|commons-lang3-3.4.jar|slf4j-log4j12-1.7.7.jar

51

|commons-logging-1.2.jar|xmlsec-2.0.7.jar

52

|joda-time-2.9.4.jar|log4j.properties

53

54

== Ajout de la valve d’authentification SAMLv2 ==

55

56

Activez la valve d’authentification SAMLv2 dans le fichier **server.xml** situé dans le dossier :

(% class="box" %)

(((

<Install DD>/apache-tomcat/conf

61

)))

62

63

Pour cela, chercher l’élément **<Host ...>** dans le fichier, décommenter ou y rajouter l’élément **<Valve ...>** ci-dessous :

(((

<Valve className="com.onelogin.saml2.SAML2SSOValve"

68

allowAddr="localhost,127.0.0.*,0:0:0:0:0:0:0:1"

69

fallbackAuth="LDAP"

70

idPMetadataPath="C:\idp_md.xml"

71

securitySettingsPath="C:\saml2.sec.properties"

72

uid="email"

73

sharedPasswd="sharedPassword" ></Valve>

74

75

76

La valeur de l'attribut //className //est invariable.

77

78

Les valeurs des autres attributs (allowAddr, idPMetadataPath, ...) sont variables selon l'installation.

79

)))

80

81

|(% style="width:247px" %)**Attribut**|(% style="width:1173px" %)**Description**

82

|(% style="width:247px" %)className|(% style="width:1173px" %)Nom de la classe Java, implémentant l'interface org.apache.catalina.Valve, à utiliser comme Valve ici. Cet attribut est obligatoire, car il permet de sélectionner la Valve à utiliser. Il en existe en effet plusieurs implémentations fournies par Tomcat.

83

|(% style="width:247px" %)allowAddr|(% style="width:1173px" %)Adresse IP du serveur.

84

|(% style="width:247px" %)fallbackAuth|(% style="width:1173px" %)La méthode d'authentification de repli

85

|(% style="width:247px" %)idPMetadataPath|(% style="width:1173px" %)Le chemin absolu du fichier XML avec les métadonnées de l’IdP

86

|(% style="width:247px" %)securitySettingsPath|(% style="width:1173px" %)Le chemin absolu du fichier .properties avec les paramètres de sécurité

87

|(% style="width:247px" %)uid|(% style="width:1173px" %)Un des attributs renvoyés par l’IdP dans la réponse SAMLv2 pour identifier l’utilisateur qui s’authentifie. Si cet attribut n’est pas mentionné, le nameId de la réponse SAMLv2 est utilisé pour identifier l’utilisateur.

88

|(% style="width:247px" %)sharedPasswd|(% style="width:1173px" %)Le mot de passe partagé et vérifié à l’authentification

89

|(% style="width:247px" %)//ldapForPaths//|(% style="width:1173px" %)//Facultatif//, il s’agit des expressions régulières des URLs dont les ressources sont autorisées à passer la valve, passant ainsi en mode d’authentification LDAP. Exemple : "http:~/~/localhost:8080/.*"

90

|(% style="width:247px" %)//cookieTimeOut//|(% style="width:1173px" %)(((

91

//Facultatif//, il s’agit du temps (en secondes) au bout duquel le cookie SSO expirera. Vaut 1800 secondes (30 minutes) par défaut .

92

Sinon, le cookie expirera après le nombre de secondes mentionné.

93

94

Exemple : cookieTimeOut="3600" (1 heure)

95

)))

96

|(% style="width:247px" %)//print_debug//|(% style="width:1173px" %)//Facultatif//, vaut false par défaut, sinon, ajouter print_debug="true" pour des traces plus verbeuses.

97

98

== Ajout du .war correspondant à l’ACS du Service Provider ==

99

100

Ajoutez l’archive **ddacs.war** du dossier **<install DD>/add-ons/valve_saml2/apache-tomcat/webapps** dans le dossier :

(% class="box" %)

(((

<Install DD>/apache-tomcat/webapps

105

)))

106

107

(% class="box infomessage" %)

108

(((

109

Il s’agit du point d’entrée ACS du SP accédé par l’IdP.

110

)))

111

112

== Ajout des contraintes de sécurité ==

113

114

Décommentez ou ajoutez les contraintes de sécurité au fichier **web.xml** situé dans le dossier :

(% class="box" %)

(((

<Install DD>/apache-tomcat/conf

)))

<web-app ...>

...

<security-role>

<role-name>CUSTOM</role-name>

126

</security-role>

127

128

<security-constraint>

129

<display-name>CUSTOM Security Constraint</display-name>

130

131

<web-resource-collection>

132

<web-resource-name>Protected Area</web-resource-name>

133

<url-pattern>/*</url-pattern>

134

</web-resource-collection>

135

136

<auth-constraint>

137

<role-name>CUSTOM</role-name>

138

</auth-constraint>

139

</security-constraint>

140

141

<security-constraint>

142

<web-resource-collection>

143

<web-resource-name>Non-Protected Area</web-resource-name>

144

<url-pattern>/vjdbc</url-pattern>

145

</web-resource-collection>

146

</security-constraint>

...

</web-app>

= Configuration des applications =

153

154

Pour cela, modifiez le fichier **digdash.properties** dans **<install DD> **ou** /etc/digdash** ou dans le dossier que vous auriez configuré dans setenv.bat/setenv.sh.

155

156

157

== Configuration du Serveur (ddenterprise.war) ==

158

159

Dans le fichier **digdash.properties** :

160

161

Dans l'encadré //ddenterpriseapi.war//, rechercher et décommenter les lignes suivantes avec les valeurs indiquées :

162

163

164

ddenterpriseapi.authMethod=External

== Configuration du Tableau de bord (digdash_dashboard.war) ==

169

170

Dans le fichier **digdash.properties** :

171

172

Dans l'encadré //digdash_dashbord.war//, rechercher et décommenter les lignes suivantes avec les valeurs indiquées :

173

174

175

digdash_dashboard.SERVERURL=http://localhost:8080

176

digdash_dashboard.DOMAIN=ddenterpriseapi

177

digdash_dashboard.FORCEDOMAIN=true

178

digdash_dashboard.FORCESERVERURL=true

179

digdash_dashboard.sharedPasswd=<la valeur de l'attribut sharedPasswd dans l'élément Valve>

180

181

182

(% class="box infomessage" %)

183

(((

184

La valeur d’exemple pour le paramètre //digdash_dashboard.SERVERURL// fera quasiment toujours référence à localhost, lorsque le tableau de bord et le serveur sont placés dans le même serveur Tomcat, ce qui représente quasiment 99.9 % des usages. Il faudra naturellement faire référence à l’adresse du serveur externe si ces deux éléments sont placés sur des serveurs différents.

)))

== Configuration du Web Studio (studio.war) ==

189

190

Dans le fichier **digdash.properties** :

191

192

Dans l'encadré //studio.war//, rechercher et décommenter les lignes suivantes avec les valeurs indiquées :

193

194

195

studio.SERVERURL=http://localhost:8080

196

studio.DOMAIN=ddenterpriseapi

197

studio.FORCEDOMAIN=true

198

studio.FORCESERVERURL=true

199

studio.PUBLICSERVERURL=<votre adresse URL publique>

200

studio.sharedPasswd=<la valeur de l'attribut sharedPasswd dans l'élément Valve>

201

202

203

(% class="box infomessage" %)

204

(((

205

La valeur d’exemple pour le paramètre //studio.SERVERURL// fera quasiment toujours référence à localhost, lorsque le Studio et le serveur sont placés dans le même serveur Tomcat, ce qui représente quasiment 99.9 % des usages. Il faudra naturellement faire référence à l’adresse du serveur externe si ces deux éléments sont placés sur des serveurs différents.

)))

== Configuration du Desktop Studio (adminconsole.war) ==

211

212

Dans le fichier **digdash.properties** :

213

214

Dans l'encadré //adminconsole.war//, rechercher et décommenter les lignes suivantes avec les valeurs indiquées :

215

216

217

adminconsole.server_domain_list=ddenterpriseapi

218

adminconsole.ddserver=<votre adresse URL publique en HTTPS>

219

adminconsole.serverDomain=ddenterpriseapi

220

adminconsole.domain=ddenterpriseapi

221

adminconsole.authMode=External

222

adminconsole.forceServerDomain=true

223

224

# Facultatif, dans le cas d'utilisation de certificats auto-signés

225

adminconsole.sslNoPathCheck=true

= Configuration de l’Identity Provider =

230

231

L’IdP devra enregistrer DigDash en tant que SP dans sa liste de SP pour que DigDash puisse tirer profit de l’Authentification unique.

232

L’IdP devra notamment se servir du fichier métadonnées fournit par le SP pour sa configuration. Celui-ci mentionne entre autres choses les points d’entrées du SP DigDash (URL ACS).

233

234

== Métadonnées du Service Provider ==

235

236

Les métadonnées du SP seront soit fournis directement et physiquement (par email, par clé USB, etc.) soit par génération via le SP. En effet, elles seront accessibles via l’URL suivante une fois la valve mise en place :

237

238

(% class="box infomessage" %)

239

(((

240

https:~/~/<adresse du serveur DigDash>:<port>/?spmetadata=display

241

)))

242

243

= Configuration du Service Provider =

244

245

Le SP devra charger dans son application les métadonnées de l’IdP.

246

247

== Métadonnées de l’Identity Provider ==

248

249

Placez le fichier au format XML fourni par l’IdP correspondant aux métadonnées de l’IdP dans le répertoire de votre choix.

250

251

(% class="box infomessage" %)

252

(((

253

Le chemin absolu de ce fichier devra être connu est devra être renseigné comme valeur de l’attribut //idPMetadataPath //de l'élément Valve dans Tomcat.

254

)))

255

256

= Configuration des paramètres de sécurité =

257

258

Placez le fichier saml2.sec.properties du dossier **<Install DD>/add-ons/valve_saml2/resources_samples** correspondant aux paramètres de sécurité dans le répertoire de votre choix.

259

260

(% class="box infomessage" %)

261

(((

262

Le chemin absolu de ce fichier devra être connu est devra être renseigné comme valeur de l’attribut //securitySettingsPath //de l'élément Valve dans Tomcat.

263

)))

264

265

Les tableaux suivants présentent les différentes propriétés pour paramétrer la sécurité :

266

267

== Propriétés générales ==

268

269

|(% style="width:279px" %)**Propriété générale**|(% style="width:808px" %)**Description**|(% style="width:332px" %)**Valeurs possibles**

270

|(% style="width:279px" %)onelogin.saml2.strict|(% style="width:808px" %)Si à true, le SP et en mode strict et rejettera tous les messages non cryptés ou non signés si le SP s’attend à ce qu’ils le soient.|(% style="width:332px" %)true,false

271

|(% style="width:279px" %)onelogin.saml2.debug|(% style="width:808px" %)Si à true, le mode debug sera activé.|(% style="width:332px" %)true,false

272

273

== Propriétés du Service Provider ==

274

275

(% class="box infomessage" %)

276

(((

277

Les valeurs par défaut de ces propriétés sont automatiquement chargées. Vous pouvez décommenter certaines propriétés au besoin pour expliciter des valeurs.

278

)))

279

280

|(% style="width:364px" %)**Propriétés du Service Provider **|(% style="width:592px" %)**Description**|(% style="width:507px" %)**Valeurs possibles**

281

|(% style="width:364px" %)onelogin.saml2.sp.entityid|(% style="width:592px" %)l'identifiant de l'entité Service Provider|?spmetadata=display

282

|(% style="width:364px" %)onelogin.saml2.sp.assertion_consumer_service.url|(% style="width:592px" %)Point d'entrée du SP. Il s'agit de l'URL vers laquelle la <Response> SAML de l'IdP va être retournée.|ddacs/acs

283

|(% style="width:364px" %)onelogin.saml2.sp.assertion_consumer_service.binding|(% style="width:592px" %)(((

284

Liaison de protocole SAML utilisé lors du retour du message <Response>. Onelogin prend en charge pour ce point de terminaison la liaison HTTP-POST uniquement.

285

)))|urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST

286

|(% style="width:364px" %)onelogin.saml2.sp.single_logout_service.url|(% style="width:592px" %)Spécifie où et comment le message <Logout Response> doit être retourné au demandeur, dans ce cas le SP.|ddacs/slo

287

|(% style="width:364px" %)onelogin.saml2.sp.single_logout_service.binding|(% style="width:592px" %)Liaison de protocole SAML utilisé lors du retour du <LogoutResponse> ou de l'envoi du message <LogoutRequest>. Onelogin prend en charge pour ce point de terminaison la liaison HTTP-Redirect uniquement.|urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect

288

|(% style="width:364px" %)onelogin.saml2.sp.nameidformat|(% style="width:592px" %)Spécifie des contraintes sur le NameID à utiliser pour représenter l'utilisateur à authentifier.|urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

289

|(% style="width:364px" %)onelogin.saml2.sp.x509cert|(% style="width:592px" %)La clé publique (ou certificat) du Service Provider.|Cf documentation [[Authentification SAMLv2 - Configuration>>https://doc.digdash.com/xwiki/wiki/dd2021r1/view/Digdash/deployment/security/config_auth_saml2/config_auth_saml2_sec/]]

290

|(% style="width:364px" %)onelogin.saml2.sp.privatekey|(% style="width:592px" %)La clé privée du Service Provider.|Cf documentation [[Authentification SAMLv2 - Configuration>>https://doc.digdash.com/xwiki/wiki/dd2021r1/view/Digdash/deployment/security/config_auth_saml2/config_auth_saml2_sec/]]

291

292

== Propriétés de sécurité ==

293

294

|(% style="width:411px" %)**Propriétés de sécurité**|(% style="width:690px" %)**Description**|(% style="width:319px" %)**Valeurs possibles**

295

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.nameid_encrypted|(% style="width:690px" %)Indique si le nameID du <samlp:logoutRequest> envoyé par le SP doit être crypté.|(% style="width:319px" %)true,false

296

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.authnrequest_signed|(% style="width:690px" %)Indique si les messages <samlp:AuthnRequest> envoyés par ce SP sont signés. Les métadonnées indiquent cette information.|(% style="width:319px" %)true,false

297

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.logoutrequest_signed|(% style="width:690px" %)Indique si les messages <samlp:logoutRequest> envoyés par ce SP sont signés.|(% style="width:319px" %)true,false

298

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.logoutresponse_signed|(% style="width:690px" %)Indique si les messages <samlp:logoutResponse> envoyés par ce SP sont signés.|(% style="width:319px" %)true,false

299

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.want_messages_signed|(% style="width:690px" %)Indique si les réponses doivent être signées.|(% style="width:319px" %)true,false

300

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.want_assertions_signed|(% style="width:690px" %)Indique l’obligation des messages <samlp:Response>, <samlp:LogoutRequest> et <samlp:LogoutResponse> reçus par ce SP d’être signés.|(% style="width:319px" %)true,false

301

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.sign_metadata|(% style="width:690px" %)Indique l’obligation des métadonnées de ce SP d’être signées.|(% style="width:319px" %)true,false

302

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.want_assertions_encrypted|(% style="width:690px" %)Indique l’obligation des assertions reçues par ce SP d’être cryptés.|(% style="width:319px" %)true,false

303

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.want_nameid_encrypted|(% style="width:690px" %)Indique l’obligation du nameID reçu par le SP d’être crypté.|(% style="width:319px" %)true,false

304

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.requested_authncontext|(% style="width:690px" %)Contexte d’authentification.|(% style="width:319px" %)urn:oasis:names:tc:SAML:2.0:ac:classes:Password

305

ou chaîne vide si vous ne voulez qu’aucun contexte ne soit envoyé dans la requête.

306

Plusieurs valeurs possibles, séparées par des virgules.

307

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.requested_authncontextcomparison|(% style="width:690px" %)Active la comparaison du contexte d’authentification|(% style="width:319px" %)exact

308

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.want_xml_validation|(% style="width:690px" %)Indique si le SP valide toutes les réponses XML reçues (Si true, la validation n’est effective que si cette propriété et la propriété ‘onelogin.saml2.strict’ valent aussi true).|(% style="width:319px" %)true,false

309

|(% rowspan="1" style="width:411px" %)onelogin.saml2.security.signature_algorithm|(% style="width:690px" %)Algorithme de hachage utilisé pour la signature.|(% style="width:319px" %)[[http:~~/~~/www.w3.org/2000/09/xmldsig#rsa-sha1

310

http:~~/~~/www.w3.org/2000/09/xmldsig#dsa-sha1

311

http:~~/~~/www.w3.org/2001/04/xmldsig-more#rsa-sha256

312

http:~~/~~/www.w3.org/2001/04/xmldsig-more#rsa-sha384

313

http:~~/~~/www.w3.org/2001/04/xmldsig-more#rsa-sha512>>http://www.w3.org/2000/09/xmldsig#rsa-sha1http://www.w3.org/2000/09/xmldsig#dsa-sha1http://www.w3.org/2001/04/xmldsig-more#rsa-sha256http://www.w3.org/2001/04/xmldsig-more#rsa-sha384http://www.w3.org/2001/04/xmldsig-more#rsa-sha512]]

314

315

= Configuration de l’environnement Java =

316

317

L'extension JCE (Java Cryptography Extension) est requise. Vous pouvez télécharger la version jce-6, jce-7 ou jce-8, décompressez là dans le dossier suivant

318

319

**${java.home}/jre/lib/security/**

320

321

|**Versions**|**Liens de téléchargement**

322

|jce-6|__[[http:~~/~~/www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.html>>url:http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.html]]__

323

|jce-7|__[[http:~~/~~/www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html>>url:http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html]]__

324

|jce-8|__[[http:~~/~~/www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html>>url:http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html]]__

== Niveau de Logs ==

Vous pouvez personnaliser le niveau de log pour la valve d’authentification.

329

330

Par défaut, seuls les erreurs sont loguées. Si toutefois vous voulez avoir plus de détails sur le déroulé des actions et échanges entre les différentes entités, vous pouvez affecter la valeur ‘DEBUG’ au lieu de ‘ERROR’ dans le fichier log4j.properties qui a été importé dans le dossier lib de Tomcat.

331

332

log4j.logger.com.onelogin.saml2=**ERROR**, stdout

333

devient

334

log4j.logger.com.onelogin.saml2=**DEBUG**, stdout

335

336

337

= Cohabitation SAMLv2 et LDAP DigDash (facultatif) =

338

339

(% class="box infomessage" %)

340

(((

341

Cette fonctionnalité n'est disponible qu'à partir de la version patchée 2021R1_p20210924.

342

)))

343

344

Il est possible de faire cohabiter l'authentification directe via l'annuaire LDAP DigDash alors que la méthode SAMLv2 est mise en place sur votre serveur DigDash.

345

346

== Configuration préalable ==

347

348

Dans le fichier **digdash.properties** :

349

350

Dans l'encadré //studio.war//, rechercher et décommenter les lignes suivantes avec les valeurs indiquées :

351

352

353

studio.allowLoginForm=true

354

355

356

Dans l'encadré //digdash_dashbord.war//, rechercher et décommenter les lignes suivantes avec les valeurs indiquées :

357

358

359

digdash_dashboard.allowLoginForm=true

== Activation du mode LDAP DigDash ==

364

365

Pour activer le mode d'authentification en mode LDAP DigDash, il suffit de rajouter dans l'URL le paramètre **loginForm **avec la valeur (% style="color:#27ae60" %)**true**(%%).

366

367

Ainsi, s'il y a besoin de s'authentifier au tableau de bord directement à l'aide de vos identifiants LDAP DigDash alors que du SAMLv2 déjà installé, l'URL à utiliser sera de la forme :

(% class="box" %)

(((

https:~/~/<host>:<port>/digdash_dashboard/index.html?**loginForm**=(% style="color:#27ae60" %)**true**

372

)))

373

374

(% class="box warningmessage" %)

375

(((

376

(% style="color:#e67e22" %)**Attention **(%%): de manière générale, le paramètre loginForm ainsi que sa valeur seront à mentionner sur chaque domaine indépendemment les uns des autres (ddenterpriseapi pour le serveur, digdash_dashboard pour le tableau de bord, studio pour le studio web) pour s'authentifier via le LDAP.

377

Ainsi, activer le paramètre loginForm sur le tableau de bord (domaine digdash_dashbord) ne l'activera pas automatiquement sur le Studio Web (domaine studio) par exemple.

378

)))

379

380

== Ré-activation du mode SAMLv2 ==

381

382

Pour désactiver le mode LDAP DigDash et ainsi retourner à un état où c'est l'authentification SSO SAMLv2 qui est prise en compte, il suffit de mentionner le paramètre **loginForm **avec la valeur (% style="color:#c0392b" %)**false**(%%).

383

Ainsi, s'il y a besoin de s'authentifier au tableau de bord via SAMLv2 alors qu'une authentification directe via le LDAP DigDash a précédemment eu lieu, l'URL à utiliser sera de la forme :

(% class="box" %)

(((

https:~/~/<host>:<port>/digdash_dashboard/index.html?**loginForm**=(% style="color:#c0392b" %)**false**

388

)))

389

390

La note d'avertissement précédente est également à prendre en compte dans ce cas.