Click here for the english version

Versions des fichiers de méta-données SAML

La génération de méta-données SAML est un processus sensible car ces méta-données sont utilisées dans un environnement hétérogène dont le comportement n'est que partiellement testable par l'opérateur de la fédération. Ce constat et dix ans d'expérience d'exploitation de la Fédération Éducation-Recherche nous ont amenés à envisager un processus de fiabilisation des méta-données mettant à contribution les organismes participants, en complément des tests d'intégrité mis en oeuvre par RENATER lors du processus de publication des méta-données SAML. Notre objectif est de réduire les risques de perturbation du service liés à une corruption des fichiers de méta-données.

URL des métadonnées: https://pub.federation.renater.fr/metadata

Les fichiers de méta-données des fédérations de production (toutes hormis la Fédération de Test) sont publiés en plusieurs versions, correspondant à un processus de maturation de preview à intermediate puis main, voir le schéma plus bas.

Ce processus concourt à fiabiliser les méta-données de production : les services les moins critiques utilisent une version gelée des méta-données (appelée intermediate) ; les services les plus critiques utilisent les méta-données éprouvées (version main) qui ont été utilisées pendant une demi-journée sous la forme intermediate. Quant aux versions preview des méta-données elles offrent l'intérêt d'une fréquence de publication plus importante.

Disponibilité des versions de méta-données en fonction des fédérations :

Nommage des fichiers de méta-données de RENATER

Le schéma est le suivant <maturité>-<type>-<federation>-metadata.xml où :

  • <maturité> indique le niveau de maturité des méta-données (preview, intermediate ou main),
  • <type> indique le type d'entités SAML répertoriées dans les méta-données (sps, idps et all),
  • <federation> indique la fédération concernée (renater, edugain, renater-test ou renater-<fedlocale>).


Le tableau ci-dessous présente les caractéristiques de chaque version de fichier de méta-données et nos recommandations quant à leur utilisation. Cependant chaque administrateur d'un SP/IdP garde la possibilité de choisir la version de méta-données qui convient aux contraintes de son service.

Tous les fichiers de méta-données sont publiés toutes les 30 minutes.
Par contre, ils diffèrent sur le délai entre mise à jour sur le guichet et l'arrivée de la modification dans les méta-données.
versions preview intermediate main
délai entre mise à jour du guichet et publication 30 minutes max 6h max 12h max
caractéristiques permet une prise en compte rapide des mises à jour dans le guichet fédération données récentes du guichet. Cette version permet d'éprouver les méta-données qui deviendront la version main méta-données contenant des modification ayant été validées par les autres flux (preview/intermediate)
recommandation d'utilisation conseillé pour une utilisation pour les services en phase de pré-production conseillé pour les services peu critiques conseillé pour les services plus critiques


En fonction de la version du fichier de méta-données que vous chargez, le délai de prise en compte des modifications soumises via le guichet de la fédération est différent. Vous devrez donc prendre en compte ce délai de propagation des mises à jour pour déterminer quand les informations concernant votre SP/IdP seront pris en compte par toutes les autres entités SAML membres de la fédération.

A titre d'exemple, suite à une mise à jour via le guichet de la fédération, les nouvelles informations seront publiées :

  • dans les méta-données preview: au maximum 30 minutes plus tard,
  • dans les méta-données intermediate: au maximum 6 heures plus tard,
  • dans les méta-données main: au maximum 12 heures plus tard.

Vous devez également prendre en considération la fréquence de rechargement des méta-données par les SP/IdP. Pour un IdP Shibboleth, la fréquence de rechargement par défaut est de 3h. Pour un SP Shibboleth, aucun rechargement n'est configuré par défaut - mais la plupart de nos exemples de configuration incluent une fréquence de rechargement de 2h. Comme il ne nous est pas possible de connaître la fréquence de rechargements des SP/IdP présents dans une fédération, nous indiquons un délai de propagation de 24h.
Dans le cas des méta-données eduGAIN, vous devez également prendre en compte le temps de diffusion des méta-données depuis ou vers un autre opérateur de fédération. Voir la documentation sur eduGAIN.

  • federation/documentation/generale/metadata/versions-metadata.txt
  • Dernière modification : 2022/12/08 11:24
  • de herve.bourgault@renater.fr