Les fédérations locales

Le guichet de la fédération RENATER vous offre la possibilité de gérer une fédération qui vous est propre, hébergée par RENATER.

Principe de fonctionnement

Le guichet de la fédération permet de décrire des entités SAML (IdP ou SP) une seule fois puis de les inscrire dans une ou plusieurs fédérations. Ainsi on peut mettre à jour les informations techniques sur une entités SAML ; elles seront propagées dans les différentes fédérations dans lesquelles est enregistrée l'entitée SAML.

Ce principe de fonctionnement a été étendu pour permettre à des organismes ou des groupes d'organismes (UNR, PRES, groupe d'écoles) de définir leur fédération locale au sein du guichet opéré par RENATER. Le guichet permet l'enregistrement dans la fédération locale avec le même niveau de confiance que la Fédération Education-Recherche et publie le fichier de méta-données de cette fédération locale.

Cette gestion de fédérations locales doit permettre aux organismes de gérer des SP locaux :

  • sans gérer de multiples relations bilatérales,
  • sans devoir les enregistrer dans la fédération nationale,
  • en définissant à un seul endroit la liste des IdPs autorisés.

Gestion des inscriptions dans votre fédération locale

Une entité SAML (IdP ou SP) peut, au choix, s'inscrire dans la fédération locale uniquement ou bien dans la fédération locale et dans la Fédération Education-Recherche.

Pour un SP, l'appartenance à une Fédération locale en plus de la Fédération Education-Recherche n'a pas beaucoup de sens, puisque le but de la fédération locale, est d'en réduire l'audience, aux seuls IdP de la fédération locale.

Pour un IdP, il est tout à fait possible et même recommandé, qu'il soit inscrit dans toutes les fédérations qui contiennent des SP auxquels les utilisateurs auront besoin d'accéder.

Les demandes d'enregistrements sont traitées comme pour les autres fédérations:

  • un des responsables de l'entité demande l'enregistrement
  • un des responsables de l'organisme auquel est rattaché l'entité valide cette demande
  • les responsables de la fédération sont notifiés de l'enregistrement

Ce ne sont donc pas les responsables de la fédération locale qui gèrent ces enregistrements à l'heure actuelle. Deux mécanismes complémentaires permettent néanmoins de restreindre l'enregistrement d'entités indésirables:

  • les restrictions de visibilités
  • les conditions d'enregistrement

Restrictions de visibilité

Chaque fédération peut être associée à des restrictions de visibilité permettant de restreindre sa visibilité sur le guichet.

Ces restrictions de visibilité s'appliquent aux utilisateurs: seuls ceux dont l'adresse mail correspond à une liste blanche de domaines autorisés verront la fédération sur le guichet, et seront donc en mesure de soumettre des demandes d'enregistrement.

Conditions d'enregistrement

Chaque fédération peut être associée à des conditions d'enregistrement permettant de restreindre les possibilités d'inscriptions des entités dans celle-ci.

Ces règles s'appliquent aux entités: seules celles satisfaisant à l'ensemble des conditions peuvent faire l'objet d'une demande d'enregistrement.

La liste exacte des conditions possibles évolue d'une version du guichet à l'autre, mais voici quelques exemples possibles:

  • une entité inscrite dans la fédération de test ne peut pas être inscrite dans la Fédération Education-Recherche.
  • une entité qui n'est pas rattachée à un organisme ne peut pas être inscrite dans la Fédération Education-Recherche.

Gestion des méta-données

Le fichier de méta-données de la fédération locale est publié sur une URL non devinable, mais pérenne, du type https://pub.federation.renater.fr/metadata/fedlocale-sj789s/.

Exemple de configuration pour un IdP Shibboleth

<MetadataProvider type="Chaining">
  <!-- Méta-données de la Fédération Education-Recherche -->
  <MetadataProvider
    id="RenaterMetadata"
    xsi:type="FileBackedHTTPMetadataProvider"
    backingFile="%{idp.home}/metadata/preview-all-renater-test-metadata.xml"
    metadataURL="https://pub.federation.renater.fr/metadata/renater/main/main-sps-renater-metadata.xml">
 
    <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="%{idp.home}/credentials/renater-metadata-signing-cert-2016.pem">
    </MetadataFilter>
 
  </MetadataProvider>
 
  <!-- Meta-données de fédération locale -->
  <MetadataProvider 
    id="FedeLocale" 
    xsi:type="FileBackedHTTPMetadataProvider"
    metadataURL="https://pub.federation.renater.fr/metadata/fedlocale-sj789s/fedlocale-metadata.xml"
    backingFile="/opt/shibboleth-idp/metadata/renater-fedlocale-metadata.xml">
    <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="%{idp.home}/credentials/renater-metadata-signing-cert-2016.pem">
    </MetadataFilter>
  </MetadataProvider>
 
</MetadataProvider>
 

Exemple de configuration pour un SP Shibboleth

  <!-- Méta-données fédération locale -->
  <MetadataProvider type="XML" url="https://pub.federation.renater.fr/metadata/fedlocale-sj789s/fedlocale-metadata.xml"
			    backingFilePath="renater-fedlocale-metadata.xml" reloadInterval="1800">
	    <MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
	    <MetadataFilter type="Signature" certificate="renater-metadata-signing-cert-2016.pem"/>
	  </MetadataProvider>

Créer ma fédération locale

Pour créer votre fédération locale, faîtes-en la demande sur le portail d'assistance RENATER.