RENATER publie des métadonnées SAML dans le cadre de son infrastructure de fédération d'identité. Ces métadonnées recensent les informations techniques sur les fournisseurs d'identité (IdP) et les fournisseurs de service (SP) renseignées au travers du guichet de la fédération.

Ces métadonnées sont indispensable au fonctionnement d'une fédération d'identité, puisque les entités SAML doivent se connaitre mutuellement avant d'échanger le moindre message. L'authentification réciproque, par exemple, nécessite que chacun connaisse le certificat de signature de l'autre. En conséquence, pour pouvoir communiquer avec une autre entité enregistrée dans une fédération d'identité, une entité doit:

• être enregistrée dans cette fédération d'identité, de façon à être présent dans les métadonnées chargées par les autres
• charger les métadonnées de cette même fédération d'identité, de façon à connaitre les autres

L'enregistrement dans une fédération, via le guichet, ne constitue que la première partie de cette relation de confiance symétrique, et doit être complétée par une modification de la configuration.

RENATER gère plusieurs cercles de confiance et publie des métadonnées pour chacune de ces fédérations :

• la Fédération Éducation-Recherche (plus d'infos) : l'environnement de production pour la communauté éducation-recherche française ;
• La fédération de qualification (plus d'infos) : l'environnement de qualification pour la communauté éducation-recherche française, dont les conditions sont proches de la Fédération Éducation-Recherche, sans pour autant polluer celle-ci avec des services non pertinents.
• L'inter-fédération eduGAIN (plus d'infos) : l'environnement de production pour la communauté éducation-recherche internationale. Les données publiées proviennent de GEANT, opérateur de eduGAIN ;
• Les fédérations locales (plus d'infos) : des environnements de production pour des groupes d'établissements éducation-recherche français. L'URL des métdonnées des fédérations locales n'est pas publique ;
• La fédération de test (plus d'infos) : l'environnement de test pour les organismes éducation-recherche, en accès libre.

Le service des comptes CRU est un service d'authentification complémentaire proposé par RENATER. Ce fournisseur d'identité n'est inscrit dans aucune fédération, mais vous pouvez télécharger ses métadonnées individuellement.

Les métadonnées sont générées automatiquement à partir des données saisies dans le guichet de la fédération, toutes les modifications doivent donc se faire depuis cette interface.

Le délai de propagation des modifications varie en fonction de deux délais successifs:

• délai de rafraichissement des métadonnées publiées: au maximum 60 minutes (hors eduGAIN)
• délai de rafraichissement des métadonnées chargées par les autres entités de la fédération: variable

Le premier délai est déterministe, puisqu'il dépend uniquement de la configuration de notre infrastructure de publication, et il est vérifiable manuellement en examinant les fichiers produits. Dans le cas particulier d'eduGAIN, cependant, le mécanisme d’agrégation puis de redistribution vers chacun des NREN pour republication ne permet pas d'être aussi précis. Et dans tous les cas, le deuxième délai dépend lui de la configuration de chacune des entités, et échappe à notre contrôle.

D'une façon générale, nous considérons généralement que le temps cumulé de propagation des modifications vers l'ensemble de nos fédérations est aujourd'hui compris entre 1h et 12h, et 1h et 48h pour eduGAIN.

L'intégrité de ces métadonnées est assurée par deux mécanismes distincts:

• l'utilisation d'un canal de transport sécurisé (via TLS)
• l'utilisation d'une signature cryptographique

Contrairement à beaucoup d'autres logiciels, ni l'IdP si le SP Shibboleth ne vérifient par défaut le certificat présenté par le serveur d'origine, le premier mécanisme est donc inopérant. Il reste possible de le faire, en jouant sur les options de la couche transport. La vérification de la signature, quand à elle, nécessite de récupérer d'abord le certificat de signature, de vérifier son empreinte (voir ci-dessous), puis de configurer un filtre adéquat.

$ /usr/bin/curl -O https://pub.federation.renater.fr/metadata/certs/renater-metadata-signing-cert-2016.pem 
$ /usr/bin/openssl x509 -sha256 -noout -fingerprint -in renater-metadata-signing-cert-2016.pem
SHA256 Fingerprint=6B:D3:5F:7A:B1:64:EC:79:03:0D:36:97:BA:40:BD:23:5D:AA:DA:C0:43:47:C6:E5:3E:B7:72:A7:74:2C:16:5F

Ces métadonnées sont ensuite mise à disposition par deux moyens différents:

• sous forme de fichiers
• via MDQ