Gérer une fédération locale

La dernière version du guichet de la fédération RENATER vous offre la possibilité de gérer une fédération qui vous est propre, hébergée par RENATER.

Principe de fonctionnement

Le guichet de la fédération permet de décrire des entités SAML (IdP ou SP) une seule fois puis de les inscrire dans une ou plusieurs fédérations. Ainsi on peut mettre à jour les informations techniques sur une entités SAML ; elles seront propagées dans les différentes fédérations dans lesquelles est enregistrée l'entitée SAML.

Ce principe de fonctionnement a été étendu pour permettre à des organismes ou des groupes d'organismes (UNR, PRES, groupe d'écoles) de définir leur fédération locale au sein du guichet opéré par RENATER. Le guichet permet l'enregistrement dans la fédération locale avec le même niveau de confiance que la Fédération Education-Recherche et publie le fichier de méta-données de cette fédération locale.

Cette gestion de fédérations locales doit permettre aux organismes de gérer des SP locaux :

  • sans gérer de multiples relations bilatérales,
  • sans devoir les enregistrer dans la fédération nationale,
  • en définissant à un seul endroit la liste des IdPs autorisés.

Gestion des inscriptions dans votre fédération locale

Une entité SAML (IdP ou SP) peut, au choix, s'inscrire dans la fédération locale uniquement ou bien dans la fédération locale et dans la Fédération Education-Recherche.

Votre fédération locale ne sera visible, dans le guichet de la fédération, qu'à un sous-ensemble des utilisateurs. Seuls les utilisateurs authentifiés, ayant une adresse mail dans un des domaines autorisés verront la fédération locale et pourront demander l'inscription d'entités SAML dans celle-ci.

La demande d'inscription dans la fédération locale est faite par le contact technique de l'entité SAML. Seules les entités SAML rattachées à un organisme connu peuvent demander l'inscription dans la fédération. La demande d'inscription est soumise à validation d'un des deux contacts fédération de l'organisme concerné.

Gestion des méta-données

Le fichier de méta-données de la fédération locale est publié sur une URL non devinable, mais pérenne, du type https://federation.renater.fr/fedlocale/sj789s/. Des filtres d'attributs sont également publiés à cette adresse. Le fichier de méta-données est signé avec le même certificat que les méta-données de la Fédération Éducation-Recherche.

Exemple de configuration pour un IdP Shibboleth

<MetadataProvider type="Chaining">
  <!-- Méta-données de la Fédération Education-Recherche -->
  <metadata:MetadataProvider 
        id="RENATERMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
	metadataURL="https://federation.renater.fr/renater/sps-renater-metadata.xml"
	backingFile="/opt/shibboleth-idp/metadata/sps-renater-metadata.xml">
	<metadata:MetadataFilter xsi:type="metadata:ChainingFilter">
	  <metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil" 
				   maxValidityInterval="P7D" />
	  <metadata:MetadataFilter xsi:type="metadata:SignatureValidation"
				   trustEngineRef="shibboleth.MetadataTrustEngine"
				   requireSignedMetadata="true" />
	  <metadata:MetadataFilter xsi:type="metadata:EntityRoleWhiteList">
	    <metadata:RetainedRole>samlmd:SPSSODescriptor</metadata:RetainedRole>
	  </metadata:MetadataFilter>
	</metadata:MetadataFilter>
   </metadata:MetadataProvider>
 
  <!-- Meta-données de fédération locale -->
  <metadata:MetadataProvider 
    id="URLMDEduGAIN" 
    xsi:type="metadata:FileBackedHTTPMetadataProvider"
    metadataURL="https://federation.renater.fr/fedlocale/dhj67j/renater-fedlocale-metadata.xml"
    backingFile="/opt/shibboleth-idp/metadata/renater-fedlocale-metadata.xml">
    <metadata:MetadataFilter xsi:type="metadata:ChainingFilter">
         <metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil" maxValidityInterval="P7D" />
                <metadata:MetadataFilter xsi:type="metadata:SignatureValidation"
                                trustEngineRef="shibboleth.MetadataTrustEngineEduGAIN"
                                requireSignedMetadata="true" />
    </metadata:MetadataFilter>
  </metadata:MetadataProvider>
 
</MetadataProvider>
 
    <security:TrustEngine id="shibboleth.MetadataTrustEngineEduGAIN" xsi:type="security:StaticExplicitKeySignature">
        <security:Credential id="MyFederation1CredentialsEduGAIN" xsi:type="security:X509Filesystem">
            <security:Certificate>/opt/shibboleth-idp/credentials/metadata-federation-renater.crt</security:Certificate>
        </security:Credential>
    </security:TrustEngine>

Exemple de configuration pour un SP Shibboleth

  <!-- Méta-données fédération locale -->
  <MetadataProvider type="XML" url="https://federation.renater.fr/fedlocale/dhj67j/renater-fedlocale-metadata.xml"
			    backingFilePath="renater-fedlocale-metadata.xml" reloadInterval="1800">
	    <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
	    <MetadataFilter type="Signature" certificate="metadata-federation-renater.crt"/>
	  </MetadataProvider>

Créer ma fédération locale

Pour créer votre fédération locale, faîtes-en la demande sur le portail d'assistance RENATER.