Problèmes
Établissement manquant
Mon établissement n'apparaît pas dans la liste (Fédération Éducation-Recherche)
La liste proposée correspond à l'ensemble des établissements ayant déployé et enregistré un service d'authentification dans la Fédération Éducation-Recherche. Si votre établissement n'y figure pas, merci de contacter votre service informatique, et de leur indiquer cette documentation qui explique les étapes à accomplir.
Mon établissement n'apparaît pas dans la liste (AgentConnect)
La liste proposée correspond à l'ensemble des établissements ayant déployé et enregistré un service d'authentification dans la Fédération Éducation-Recherche, et satisfait aux exigences supplémentaires spécifiques à AgentConnect. Si votre établissement n'y figure pas, merci de contacter votre service informatique, et de leur indiquer cette documentation qui explique les étapes à accomplir.
Accès à un service
J'ai un problème d'accès au service Sygefor
Le service Sygefor est opéré par le CNRS, nous ne pouvons pas intervenir pour résoudre votre problème.
Nous vous engageons à contacter le support technique de ce service: ifsem-formation.contact@cnrs.fr.
J'ai un problème d'accès à un service du CERN
Les services du CERN sont opérés par le CERN, nous ne pouvons pas intervenir pour résoudre votre problème.
Si votre problème vient du fait que le CERN n'autorise que les fournisseurs d'identité conformes à la spécification de sécurité SIRTFI, nous vous engageons à vous rapprocher des administrateurs de votre service d'authentification, ou à defaut de votre support de proximité, pour leur demander de se mettre en conformité. Pour toute autre raison, nous vous engageons à contacter le support technique du CERN.
J'ai un problème d'accès à un autre service
La Fédération Education-Recherche est un mécanisme qui permet de mettre en relation des services, opérés par différents organismes, avec des fournisseurs d'identités, opérés par d'autres organismes. RENATER ne fait qu'opérer ce mécanisme, mais pas les briques techniques sous-jacentes, qui restent du ressort de leurs organismes respectifs.
S'il s'agit d'un service opéré par Renater (ce que vous pouvez déterminer en suivant les indications fournies ici), vous êtes au bon endroit. En revanche, si ce n'est pas le cas, vous devriez contacter le support technique de ce service, ou à défaut, celui de votre établissement.
J'ai un problème d'accès à un service à cause d'un attribut manquant
Le service auquel vous tentez d'accéder nécessite pour son fonctionnement que votre service d'identification lui transmette un certain nombre d'informations, ce qui semble ne pas être le cas.
Nous vous engageons à vous rapprocher des administrateurs de votre service d'authentification, ou à défaut de votre support de proximité.
Je suis un usager de l'éducation nationale, et j'ai un problème d'accès à un service
En tant qu'agent d'une académie, pour accéder à un service fédéré, vous devez choisir le fournisseur d'identité nommé Education Nationale - accès académies et administration centrale (aussi appelé “HUB”).
Si l'accès au service ne fonctionne toujours pas, je vous invite à remonter le problème au support informatique de votre académie, en leur précisant à quel service vous souhaitez accéder.
Je suis automatiquement redirigé vers le mauvaise service d'authentification
Vous avez sans doute coché l'option “se souvenir de mon choix” lorsque vous avez sélectionné votre établissement pour la première fois au niveau du service de découverte. Pour réinitialiser ce choix, vous pouvez utiliser l'une des ces URL, en fonction de la fédération d'appartenance du service:
- fédération Education-Recherche: https://discovery.renater.fr/renater/WAYF
- fédération de qualification: https://discovery.renater.fr/qualif/WAYF
- fédération eduGAIN: https://discovery.renater.fr/edugain/WAYF
Je rencontre le message d'erreur "A valid authentication statement was not found in the incoming message"
Si vous n'êtes pas l'administrateur du service, nous vous engageons à contacter le support technique de celui-ci.
Si vous en êtes l'administrateur, vous devez vérifier que le certificat de chiffrement déclaré sur le guichet correspond bien à celui effectivement utilisé par le SP. Si ce n'est pas le cas, il faut corriger le problème, et attendre les délais de propagation habituels dans les métadonnées.
Je rencontre le message d'erreur "L'URL de retour 'XXX' ne peut pas être vérifiée"
Si vous n'êtes pas l'administrateur du service, nous vous engageons à contacter le support technique de celui-ci.
Si vous en êtes l'administrateur, vous devez vérifier que les point d'accès SAML déclarés sur le guichet correspondent bien à ceux effectivement utilisés par le SP. Attention, la vérification est basée sur une comparaison entre chaines, pas sur des résolutions DNS: l'utilisation d'enregistrements DNS multiples pour un même service est souvent la cause du problème ici, l'administrateur déclarant une URL avec un nom d'hôte donné, tandis que le serveur web répond avec des redirections vers un autre nom d'hôte.
Je rencontre le message d'erreur "Le fournisseur de service 'XXX' ne pouvait pas être trouvé dans les metadonnées"
Si vous n'êtes pas l'administrateur du service, nous vous engageons à contacter le support technique de celui-ci.
Si vous en êtes l'administrateur, vous devez vérifier que le point d'accès du service de découverte utilisé correspond bien à la fédération dans laquelle ce SP est enregistré:
- http://discovery.renater.fr/edugain pour la fédération eduGAIN
- http://discovery.renater.fr/renater pour la fédération Education/Recherche
- http://discovery.renater.fr/test pour la fédération de test
Si cette première vérification ne montre aucun problème, vérifier la cohérence de l'identifiant SAML déclaré sur le guichet pour cette entité avec celui déclaré dans la configuration du SP.
Je rencontre le message d'erreur "Impossible de répondre"
Si vous n'êtes pas l'administrateur du service, nous vous engageons à contacter le support technique de celui-ci.
Si vous en êtes l'administrateur,, vous devez vérifier que les points d'accès SAML déclarés sur le guichet sont corrects, et les corriger si ce n'est pas le cas. Cette correction nécessite néanmoins que le changement soit propagé à l'IdP concerné, avec le délai habituel (variable en fonction de la fédération).
Divers
J'ai un souci avec le TP d'installation Shibboleth
Le document que vous êtes en train de suivre n'est pas un tutoriel d'auto-formation, mais un support de cours utilisé dans le cadre des formations proposées régulièrement par le GIP RENATER. Il est certes mis à disposition librement, mais sans aucune garantie du résultat. Et notre support technique n'est pas adapté, ni par le nombre d'ingénieurs impliqués, ni dans les outils utilisés, pour aider à surmonter des difficultés techniques dans des environnements que nous ne maitrisons pas.
A moins que vos questions correspondent à des spécificités de la Fédération Education-Recherche, je vous invite plutôt à vous rapprocher des auteurs de ces différents logiciels, qui les connaissent en général mieux que nous:
- IdP Shibboleth: https://shibboleth.atlassian.net/wiki/spaces/IDP5/overview
- SP Shibboleth: https://shibboleth.atlassian.net/wiki/spaces/SP3/overview
- SwitchWAYF: https://forge.switch.ch/projects/wayf