Click here for the english version

Catégorie Research and Scholarship (R&S)

1. Définition

1.1 En bref

La catégorie Research and Scholarship (R&S) vise à permettre l'échange en toute confiance d'un jeu d'attributs minimal normalisé entre fournisseurs d’identité (IdP) et fournisseurs de service (SP) appartenant spécifiquement au domaine Education-Recherche.

La reconnaissance mutuelle de l'appartenance au domaine Education-Recherche est basée sur l'utilisation d'un tag spécifique dans les métadonnées. Ce tag prend la forme d'un attribut de type Entity Category, respectant le format suivant :

Pour un IdP :

<mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
  <saml:Attribute
      xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
      NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
      Name="http://macedir.org/entity-category-support">
    <saml:AttributeValue>http://refeds.org/category/research-and-scholarship</saml:AttributeValue>
  </saml:Attribute>
</mdattr:EntityAttributes>

Pour un SP :

<mdattr:EntityAttributes xmlns:mdattr="urn:oasis:names:tc:SAML:metadata:attribute">
  <saml:Attribute
      xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
      NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
      Name="http://macedir.org/entity-category">
    <saml:AttributeValue>http://refeds.org/category/research-and-scholarship</saml:AttributeValue>
  </saml:Attribute>
</mdattr:EntityAttributes>

1.2 Jeu d'attributs R&S

Le contrôle de la diffusion des attributs entre un fournisseur d'identité et un fournisseur de service tagués R&S repose sur la définition d'un jeu d'attributs minimal normalisés. L'idée ici est de ne transmettre que le strict minimum en terme de données personnelles (i.e le minimum requis pour le fonctionnement du service) dans un souci de protection et de confidentialité des données de l'utilisateur.

Sans rentrer dans des considérations techniques, ce jeu d'attributs est constitué des éléments de donnée suivants :

  • Identifiant utilisateur
  • Nom utilisateur
  • Adresse email
  • Affectation

Le tableau suivant présente le caractère obligatoire ou non de chacune de ces données et les attributs utilisés pour les représenter:

Type de donnée Obligatoire / Optionnel Attribut(s) possible(s)
Identifiant utilisateur Obligatoire 1. eduPersonPrincipalName (si non-réassigné)
ou
2. eduPersonPrincipalName + eduPersonTargetedID
Nom utilisateur Obligatoire 1. displayName
ou
2. giveName + sn
Adresse email Obligatoire mail
Affectation Optionnel eduPersonScopedAffiliation


1.3 Pré-requis pour un fournisseur de service (SP)

Éligibilité R&S

# RS-SP-01
Est éligible à R&S tout fournisseur de service qui a vocation à supporter les activités de gestion, de collaboration ou les échanges liés au domaine Education-Recherche.

Exemples de fournisseurs de service éligibles R&S (liste non limitative) :

  • Wikis/blogs partagés ;
  • Outils collaboratifs pour les étudiants, chercheurs, personnels techniques, etc. ;
  • Outils de partage et de gestion de données ;
  • Outils de gestion des autorisations ;
  • Plate-forme de e-learning ;
  • Services de stockage et de cloud-computing ;
  • etc.
Les fournisseurs de service qui offrent du contenu soumis à licence (tels que les e-journaux) ne sont pas éligibles R&S.

Attributs

# RS-SP-02
Un fournisseur de service ne devrait demander que des attributs définis dans le jeu d'attributs R&S.
En cas de besoin d'attributs supplémentaires, il est à la charge du fournisseur de service de négocier directement auprès des administrateurs du ou des fournisseur(s) d'identité concerné(s) (hors périmètre de ce document).

# RS-SP-03
Dans un souci d'interopérabilité maximale, un fournisseur de service est fortement encouragé à supporter toutes les alternatives en terme d'attributs, décrites dans la section 1.2, pour la représentation de l'identifiant et du nom de l'utilisateur.
Dans le cas de l'attribut eduPersonTargetedID, cela inclut la prise en charge du NameID SAML2 (identifiant persistant), traduction moderne de l'eduPersonTargetedID dans le standard SAML2.0.

# RS-SP-04
Si un fournisseur de service ne reçoit pas d'attribut eduPersonTargetedID de la part d'un fournisseur d'identité R&S, le fournisseur de service peut alors faire confiance à la capacité du fournisseur d'identité à délivrer un attribut eduPersonPrincipalName unique par utilisateur.

# RS-SP-05
Alternativement, un fournisseur de service peut obtenir un identifiant utilisateur unique par concaténation des valeurs des attributs eduPersonPrincipalName et eduPersonTargetedID. Dans le cas où la valeur résultat de cette concaténation serait amenée à changer au cours du temps, le fournisseur de service peut alors présumer que l'eduPersonPrincipalName a été ré-assigné à un autre utilisateur.

Métadonnées

# RS-SP-06
Un fournisseur de service conforme à R&S devrait contenir le tag R&S dans ses métadonnées SAML.


1.4 Pré-requis pour un fournisseur d'identité (IdP)

Attributs

# RS-IDP-01
Un fournisseur d'identité R&S doit mettre en oeuvre un filtrage spécifique limitant la diffusion des attributs renvoyés au seul jeu d'attributs R&S dès lors qu'il dialogue avec un fournisseur de service tagué R&S. Cette diffusion limitée à un jeu d'attributs minimal ne s'applique qu'aux échanges avec des fournisseurs de services R&S (i.e. elle ne s'applique pas pour les fournisseurs de service non R&S).

# RS-IDP-02
Un fournisseur d'identité R&S doit être capable de diffuser tous les attributs obligatoires du jeu d'attributs R&S (défini en section 1.2) à l'ensemble des fournisseurs de service R&S existants. Des exceptions limitant la diffusion d'attributs à un nombre limité de services R&S peuvent toutefois être autorisées dans l'éventualité d'un incident de sécurité ou toute autre circonstance particulière.

# RS-IDP-03
Un fournisseur d'identité qui ne diffuse pas l'ensemble des attributs obligatoires du jeu d'attributs R&S (défini en section 1.2) ne doit pas afficher le tag R&S dans ses métadonnées.

# RS-IDP-04
L'identifiant utilisateur doit être persistant, unique et non spécifique à un service. Si un fournisseur d'identité peut garantir l'unicité de l'eduPersonPrincipalName au cours du temps, alors ce dernier est suffisant. Dans le cas contraire, un fournisseur d'identité doit diffuser l'eduPersonTargetedID (unique par définition) en plus de l'eduPersonPrincipalName. Dans tous les cas, la diffusion de ces deux attributs est recommandée.

# RS-IDP-05
La transmission du nom de l'utilisateur requiert a minima la diffusion de l'attribut displayName ou de la paire d'attributs givenName + sn. La diffusion des trois attributs (displayName,givenName,sn) est recommandée.

# RS-IDP-06
Un fournisseur d'identité est fortement encouragé à diffuser le jeu d'attributs R&S complet (attributs obligatoires + optionnel) aux différents fournisseurs de service R&S, dans un souci d'interopérabilité et de maximisation du périmètre des services supportés. En particulier, il est important de souligner que l'attribut affiliation est largement utilisé par de nombreux services R&S de la communauté E-R.

Métadonnées

# RS-IDP-07
Un fournisseur d'identité indique sa conformité à R&S par la présence du tag R&S dans ses métadonnées SAML.

2. Déclarer son fournisseur d'identité conforme R&S

Pour pouvoir déclarer votre fournisseur d'identité conforme R&S, il est nécessaire :

  1. De déclarer la conformité R&S de votre fournisseur d'identité sur le guichet de la fédération.

3. Déclarer son fournisseur de service conforme R&S

Pour pouvoir déclarer votre fournisseur de service conforme R&S, il est nécessaire :

  1. De s'assurer que son service est bien un service éligible R&S ;
  2. D'avoir lu et compris l'ensemble des pré-requis R&S pour un fournisseur de service ;
  3. De déclarer la conformité R&S de votre fournisseur de services sur le guichet de la fédération.