Configurer une ressource locale

Gérer vous-même les configurations

Si vous n'inscrivez pas votre ressource dans la fédération Education-Recherche, vous devez configurer les relations de confiances dans les deux sens : IdPs ⇒ ressource et ressource ⇒ IdPs.

Si tous les IdP sont inscrits dans la fédération Education-Recherche, vous pouvez configurer votre SP Shibboleth pour exploiter les méta-données de la fédération. Il est également possible de gérer des configurations bilatérales (configurer le SP avec les méta-données individuelles de chaque IdP). Cette solution est plus lourde à administrer (le logiciel IdP Shibboleth ne publie par dynamiquement ses méta-données) et doit donc être réservée à des cas particuliers (utilisation de profils SAML spécifiques, relation avec des IdP extérieurs à la Fédération Education-Recherche).

Chaque IdP doit charger les méta-données propres de la ressource. L'administration est facilitée si vous utilisez la version 2 du SP Shibboelth, car il publie dynamiquement ses méta-données, voir l'exemple ci-dessous.

Exemple de configuration d'un SP Shibboleth, utilisant les méta-données de la fédération Education-Recherche :

        <MetadataProvider type="Chaining">
		<!-- Meta-donnees de la federation Education-Recherche -->
		<MetadataProvider type="XML" uri="https://federation.renater.fr/renater/idps-renater-metadata.xml"
				    backingFilePath="/etc/shibboleth/idps-renater-metadata.xml" reloadInterval="7200">
		    <SignatureMetadataFilter certificate="/etc/shibboleth/metadata-federation-renater.crt"/>
		</MetadataProvider>
 
        </MetadataProvider>

Exemple de configuration d'un des IdPs, utilisant les méta-données de la Fédération Education-Recherche + les méta-données dynamiques d'une ressource :

    <MetadataProvider id="ShibbolethMetadata" xsi:type="ChainingMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata">
 
	<!-- Federation Education-Recherche -->
	<MetadataProvider id="RENATER" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" 
			  metadataURL="https://federation.renater.fr/renater/sps-renater-metadata.xml"
                          backingFile="/opt/shibboleth-idp/metadata/sps-renater-metadata.xml">
	  <MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
	    <MetadataFilter xsi:type="RequiredValidUntil" xmlns="urn:mace:shibboleth:2.0:metadata" 
			    maxValidityInterval="604800" />
	    <MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata"
			    trustEngineRef="shibboleth.MetadataTrustEngine"
			    requireSignedMetadata="true" />
	    <MetadataFilter xsi:type="EntityRoleWhiteList" xmlns="urn:mace:shibboleth:2.0:metadata">
	      <RetainedRole>samlmd:SPSSODescriptor</RetainedRole>
	    </MetadataFilter>
	  </MetadataFilter>
	</MetadataProvider
 
	<!-- Méta-données d'un ressource locale, utilisant un SP Shibboleth 2  -->
	<MetadataProvider id="LocalWiki" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" 
			  metadataURL="https://wiki.univ-x.fr/shibboleth/Shibboleth.sso/Metadata"
			  backingFile="/opt/shibboleth-idp/metadata/localwiki-metadata.xml">
	  <MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
	    <MetadataFilter xsi:type="EntityRoleWhiteList" xmlns="urn:mace:shibboleth:2.0:metadata">
	      <RetainedRole>samlmd:SPSSODescriptor</RetainedRole>
	    </MetadataFilter>
	  </MetadataFilter>
	</MetadataProvider>
 
    </MetadataProvider>