Procédure de déclaration initiale du certificat SAML d'un IdP dans les métadonnées

Un certificat SAML est par défaut généré automatiquement, au format auto-signé, lors du processus d’installation d'une brique IDP Shibboleth. Il est fortement recommandé d’utiliser ce certificat auto-signé par défaut comme certificat SAML de votre brique IDP .

Vous avez néanmoins la possibilité de créer votre propre certificat auto-signé en suivant les recommandations RENATER sur l’usage des certificats SAML.

Afin de le rendre disponible pour les autres entités SAML de la fédération (les SPs notamment), ce certificat doit être publié dans les métadonnées via le guichet de la fédération.

Les étapes à suivre

Le certificat SAML auto-signé généré automatiquement à l’installation de l’IDP Shibboleth est stocké au niveau du répertoire /credentials dans le répertoire d'installation de l'IDP.

Effectuez les étapes suivantes pour publier le certificat SAML de l'IDP dans les métadonnées :

1. Visualiser le contenu du certificat via la commande suivante :


# cat /opt/shibboleth-idp/credentials/idp-signing.crt



2. Connectez-vous au guichet de la fédération et accéder à la page d'édition de votre IDP (onglet “Informations techniques”)

3. Copier le contenu du certificat idp-signing.crt compris entre les lignes BEGIN CERTIFICATE et END CERTIFICATE (mais sans ces deux lignes) dans le champ Certificat X.509 SAML courant

4. Soumettez la modification.

Important: Une fois les modifications enregistrées sur le guichet, il vous faudra tenir compte du temps de propagation des nouvelles méta-données à l’ensemble des SP de la Fédération Education-Recherche.

D'un SP à l'autre, ce temps de propagation peut varier selon la version des métadonnées utilisée et la fréquence de rechargement configurée pour les métadonnées. Plus de détails sur cette page