Catégories d'entité

Cette extension de méta-données SAML permet d'indiquer l'appartenance d'une entité SAML (IdP ou SP) à une ou plusieurs catégories. Cette catégorisation peut permettre de déduire des règles de diffusion d'attributs par un IdP, d'adapter le comportement d'un service de découverte (WAYF), etc. La valeur d'une entity category est une URI et une sémantique lui est associée.

Extraits de méta-données SAML mentionnant des entity categories :

<EntityDescriptor entityID="https://gitlab-dev.in2p3.fr/sp">
  <Extensions>
    <mdrpi:RegistrationInfo registrationAuthority="https://federation.renater.fr/" registrationInstant="2014-09-08T17:43:49Z">
      <mdrpi:RegistrationPolicy xml:lang="en">https://services.renater.fr/federation/en/metadata_registration_practice_statement</mdrpi:RegistrationPolicy>
    </mdrpi:RegistrationInfo>
 
    <mdattr:EntityAttributes>
      <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"> 
        <saml:AttributeValue>http://www.geant.net/uri/dataprotection-code-of-conduct/v1</saml:AttributeValue>	 
        <saml:AttributeValue>https://federation.renater.fr/category/preprod</saml:AttributeValue>
        <saml:AttributeValue>https://federation.renater.fr/scope/community</saml:AttributeValue>
      </saml:Attribute>
    </mdattr:EntityAttributes>
  </Extensions>
  <EntityDescriptor entityID="https://saml.sys.kth.se/idp/shibboleth">
    <Extensions>
      <mdrpi:RegistrationInfo registrationAuthority="http://www.swamid.se/">
        <mdrpi:RegistrationPolicy xml:lang="en">http://www.swamid.se/download/18.248ad5af12aa8136533800012293/SWAMID+Metadata+Registration+Practice+Statement-20110714.pdf</mdrpi:RegistrationPolicy>
      </mdrpi:RegistrationInfo>
 
      <mdattr:EntityAttributes>
        <saml:Attribute Name="http://macedir.org/entity-category" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
          <saml:AttributeValue>http://refeds.org/category/hide-from-discovery</saml:AttributeValue>
        </saml:Attribute>
      </mdattr:EntityAttributes>
    </Extensions>

Dans le cas des fédérations opérées par RENATER, ces catégories sont positionnées dans les méta-données, à partir des informations saisies dans le guichet de la fédération RENATER permettent de positionner des entity categories.

Depuis le guichet de la fédération, l'administrateur d'un SP a la possibilité de se déclarer en conformité avec une ou plusieurs spécifications (Data Protection Code of Conduct, Spécification Research and Scholarship (R&S), …). La conformité à celles-ci est ensuite signalée via l'appartenance à la catégorie correspondante.

Depuis le guichet de la fédération, l'administrateur d'un SP a la possibilité de définir le public concerné par son service et le type de service.

Dans ce cas, des catégories sont associées à ce SP dans les méta-données publiées par RENATER :

Le problème de contrôle de la diffusion d'attributs utilisateurs se pose aux administrateurs d'IdP. Ils peuvent gérer manuellement leur fichier attribute-filter.xml, mais compte-tenu du nombre de SP disponibles, ce type de gestion n'est pas réaliste.

Avant l'apparition des entity categories, RENATER a mis à disposition des administrateurs d'IdP plusieurs fichiers attribute-filter.xml générés automatiquement en fonction des types de SP et de leur public cible, voir cette documentation.

La version 2.4.0 de l'IdP Shibboleth permet de définir des règles génériques de diffusion d'attributs, en fonction des attributs utilisateurs demandés par un SP et également en fonction de l'appartenance de ce SP à des entity categories.

  • federation/documentation/generale/metadata/metadata-et-entity-categories.txt
  • Dernière modification : 2023/04/17 12:04
  • de guillaume.rousse@renater.fr