Click here for the english version

Versions des fichiers de méta-données SAML

La génération de méta-données SAML est un processus sensible car ces méta-données sont utilisées dans un environnement hétérogène dont le comportement n'est que partiellement testable par l'opérateur de la fédération. Ce constat et dix ans d'expérience d'exploitation de la Fédération Éducation-Recherche nous ont amenés à envisager un processus de fiabilisation des méta-données mettant à contribution les organismes participants, en complément des tests d'intégrité mis en oeuvre par RENATER lors du processus de publication des méta-données SAML. Notre objectif est de réduire les risques de perturbation du service liés à une corruption des fichiers de méta-données.

URL des nouvelles métadonnées: https://metadata.federation.renater.fr/

Les versions de méta-données proposées

Les fichiers de méta-données des fédérations de production (toutes hormis la Fédération de Test) sont publiés en plusieurs versions, correspondant à un processus de maturation de preview à intermediate puis main, voir le schéma plus bas.

Ce processus concourt à fiabiliser les méta-données de production : les services les moins critiques utilisent une version gelée des méta-données (appelée intermediate) ; les services les plus critiques utilisent les méta-données éprouvées (version main) qui ont été utilisées pendant une demi-journée sous la forme intermediate. Quant aux versions preview des méta-données elles offrent l'intérêt d'une fréquence de publication plus importante.

Fonctionnement antérieur

Au préalable RENATER publiait les fichiers de méta-données SAML de toutes les fédérations à raison d'une fois par heure, sans processus de “maturation” des méta-données.

Disponibilité des versions de méta-données en fonction des fédérations :

Nommage des fichiers de méta-données de RENATER

Le schéma est le suivant <version>-<role>-<federation>-metadata.xml où :

  • <version> indique le niveau de maturité des méta-données (preview, intermediate ou main),
  • <role> indique le type d'entités SAML répertoriées dans les méta-données (sps, idps et all),
  • <federation> indique la fédération concernée (renater, edugain, renater-test ou renater-<fedlocale>).


Caractéristiques des versions de méta-données et recommandations d'utilisation

Le tableau ci-dessous présente les caractéristiques de chaque version de fichier de méta-données et nos recommandations quant à leur utilisation. Cependant chaque administrateur d'un SP/IdP garde la possibilité de choisir la version de méta-données qui convient aux contraintes de son service.

versions preview intermediate main
fréquence de publication toutes les 30 minutes quotidiennement à 8h et 14h quotidiennement (sauf le week-end) à 8h et 14h
caractéristiques permet une prise en compte rapide des mises à jour dans le guichet fédération données récentes du guichet. Cette version permet d'éprouver les méta-données qui deviendront la version main méta-données ayant été validée pendant une demi-journée dans la version intermediate
recommandation d'utilisation conseillé pour une utilisation pour les services en phase de pré-production conseillé pour les services peu critiques conseillé pour les services plus critiques


Délai de prise en compte des modifications liés à un SP/IdP

En fonction de la version du fichier de méta-données que vous chargez, le délai de prise en compte des modifications soumises via le guichet de la fédération est différent. Vous devrez donc prendre en compte ce délai de propagation des mises à jour pour déterminer quand les informations concernant votre SP/IdP seront pris en compte par toutes les autres entités SAML membres de la fédération.

A titre d'exemple, suite à une mise à jour via le guichet de la fédération, les nouvelles informations seront publiées :

  • dans les méta-données preview
    • au maximum 30 minutes plus tard,
  • dans les méta-données intermediate
    • si vous effectuez la mise à jour dans le guichet avant 13h30, au maximum 6h30 plus tard,
    • si vous effectuez la mise à jour dans le guichet après 13h30, au maximum 18h30 plus tard,
  • dans les méta-données main
    • au maximum 1jour et 30min plus tard.

Vous devez également prendre en considération la fréquence de rechargement des méta-données par les SP/IdP ; RENATER recommandant une synchronisation toutes les heures, voir cette documentation.

Dans le cas des méta-données eduGAIN, vous devez également prendre en compte le temps de diffusion des méta-données depuis ou vers un autre opérateur de fédération. Voir la documentation sur eduGAIN.