Click here for the english version

Politique Renater de traitement et publication des méta-données SAML

  • Nom de la fédération : Fédération Éducation-Recherche
  • Opérateur de la fédération : RENATER, France
  • Site web de la fédération : https://services.renater.fr/federation/index
  • Dernière mise à jour : Septembre 2016

Historique des modifications

  • Juin 2013 : version initiale du document,
  • Septembre 2016 : mise à jour pour décrire le nouveau processus de gestion des méta-données.

Modalités communes aux IdPs et au SPs

Les utilisateurs se connectent au guichet fédération via une connection HTTPS et doivent s'authentifier auprès de leur IdP ou via un compte CRU. Les données renseignées par l'administrateur d'un IdP ou un SP, une fois validées, sont stockées dans la base de données du guichet fédération et sont utilisées pour générer à la fois les méta-données de la fédération et les méta-données d'inter-fédération.

Un IdP/SP doit être rattaché à un organisme enregistré, ayant suivi le processus administratif d'enregistrement. Le processus administratif d'enregistrement impose la signature de la charte membre ou partenaire. Chaque organisme désigne deux personnes contacts fédération; ce sont les contacts représentant l'organisme. Un organisme membre doit appartenir à la communauté éducation-recherche française et pourra enregistrer un IdP et des SPs dans la Fédération Éducation-Recherche. Un organisme partenaire correspond à vocation à opérer un fournisseur de service dans la Fédération Éducation-Recherche.

RENATER propose une fédération de Test qui permet aux administrateurs de IdP/SP de réaliser des tests afin de s'inscrire dans la fédération de production. L'inscription dans une inter-fédération (like eduGAIN) nécessite une intervention de via le guichet fédération; une confirmation est demandée.

Gestion des méta-données

Les méta-données de la fédération sont mises à jour automatiquement, à partir d'un template de méta-données et de la description des SP/IdP provenant du référentiel du guichet fédération.

Les méta-données de la fédération sont mises à jour toutes les 30 minutes et publiées dans une version preview. RENATER fournit également des versions intermediate et main pour les méta-données de production. Le processus de gestion des méta-données est décrit dans un document dédié.

Les fichiers de méta-données de la fédération ont une durée de validité de 9 jours.

Avant signature et publication, les méta-données de la fédération sont soumises à des tests de validation visant à éviter la publication de fichiers de méta-données incorrects.

Modalités d'enregistrement et de mise à jour pour les fournisseurs d'identité

Une demande d'enregistrement pour un fournisseur d'identité peut être soumise par n'importe quel utilisateur authentifié auprès d'un des IdP de la fédération ou via un compte CRU. L'utilisateur doit sélectionner l'organisme membre auquel l'IdP est associé. La demande d'enregistrement est ensuite soumise à validation par un des contacts fédération dudit organisme.

Critères à évaluer pour valider un fournisseur d'identité :

  1. vérification la validité des URLs fournies,
  2. vérification de l'intitulé du fournisseur d'identité,
  3. vérification des adresses email pour les contacts techniques,
  4. vérification du format de l'entityID,
  5. vérification du/des domaine(s) (scopes) pour l'IdP.

La validation de l'IdP donne lieu à une notification des administrateurs de l'IdP.

L'administrateur de l'IdP peut par la suite mettre à jour les informations concernant l'IdP à travers l'interface web du guichet fédération. La demande de mise à jour requierera également une étape de validation parles opérateurs de la fédération si des informations sensibles ont été mises à jour (entityID, domaine pour les attributs scoped).

Modalités d'enregistrement et de mise à jour pour les fournisseurs de service

Une demande d'enregistrement pour un fournisseur de service peut être soumise par n'importe quel utilisateur authentifié auprès d'un des IdP de la fédération ou via un compte CRU. L'utilisateur doit sélectionner l'organisme (membre ou partenaire) auquel le SP est associé. La demande d'enregistrement est ensuite soumise à validation par un des contacts fédération dudit organisme.

Critères à évaluer pour valider un fournisseur d'identité :

  1. vérification la validité des URLs fournies,
  2. vérification de l'intitulé du fournisseur de service,
  3. vérification de la catégorie de service et de la portée du service,
  4. vérification de la liste d'attributs demandés et de leur utilisation,
  5. vérification du pays déclaré pour le traitement des données,
  6. vérification des adresses email pour les contacts techniques,
  7. vérification du format de l'entityID.

La validation du SP donne lieu à une notification des administrateurs de l'IdP.

L'administrateur du SP peut par la suite mettre à jour les informations concernant le SP à travers l'interface web du guichet fédération. La demande de mise à jour nécessitera également une étape de validation parles opérateurs de la fédération si des informations sensibles ont été mises à jour (entityID, attributs utilisateurs demandés).