Auteurs : Anass Chabli, Geoffroy Arnoud.

Dernière mise à jour : septembre 2020.

Durée : Une journée.

Public visé : principalement les administrateurs d'un fournisseur d'identité en provenance d'un organisme d'enseignement supérieur ou de recherche.

Les formations fédération, visent à décrire et expliquer les principes de bases ainsi que les évolutions et travaux liés à la fédération d'identité. Elles abordent également les différentes étapes administratives et techniques pour rejoindre la Fédération Éducation-Recherche.

Elle sont basées sur des travaux pratiques visant à installer et configurer les principales briques logicielles utilisées par la communauté (IdP, SP, WAYF).

Si vous souhaitez suivre une formation en présentiel , elles sont affichées sur le site de la fédération et annoncés dans la liste de diffusion federation-utilisateurs.
Vous pouvez également utiliser ces documents en auto-formation, sous condition de disposer d'un annuaire LDAP pour la partie “Activation de l'authentification”.

Un glossaire est disponible en fin de documentation.

Ce TP de formation décrit la mise en oeuvre du logiciel Shibboleth IdP 3.4.x sur un serveur CentOS 7.

À l'issue, de ce TP vous:

• maîtriserez l'installation et la configuration de la brique logicielle Shibboleth 3.x fournisseur d'identité;
• serez capable d'intégrer la brique Shibboleth IdP dans le système d'information de votre établissement;
• serez capable de rejoindre la Fédération Education-Recherche et eduGAIN.

• connaître l'environnement Unix;
• connaître les environnement Apache / Tomcat;
• connaître le fonctionnement de son application (pour les développeurs d'application).

• Informations utiles
  • 1. Fédération Éducation-Recherche
  • 2. Rôle de la brique Shibboleth « Fournisseur d'Identité »
  • 3. Fédération d'identité et certificats
  • 4. Migrer depuis Shibboleth 2.x vers Shibboleth 3.x
  • 5. Programme de la formation
• Pré-requis
  • 1. Installation d'outils facilitant le travail
  • 2. Installation de Java
  • 3. Installation d'un serveur Apache HTTPD
  • 4. Installation d'un serveur d'applications Java
  • 5. Installation d'un serveur Tomcat
  • 6. Configuration de Apache en mode proxy AJP
  • 7. Installation du certificat et de la clé privée associée
  • 8. Vérification NTP
• Installation de l'IdP Shibboleth
  • 1. Téléchargement et installation
  • 2. Certificats et autres fichiers sensibles
    • 2.1 Certificats
    • 2.2 Keystore
  • 3. Vérifier le fonctionnement de l'IdP
• Configuration de votre IdP
  • 1. Le fichier idp.properties
  • 2. Utilisation de SAML1
• Mise en place d'une relation bilatérale
  • 1. Configurer une relation bilatérale entre votre IdP et un service non fédéré
• Activation de l'authentification
• Configuration des attributs utilisateurs
  • 1. Configuration de attribute-resolver.xml
  • 2. Configuration du fichier attribute-filter.xml
  • 3. Vérification de la configuration des attributs
  • 4. Test de votre IdP avec un service non fédéré
• Fédération de votre IdP
  • 1. Principe des méta-données
  • 2. Enregistrement dans la fédération de test
  • 3. Etablir la confiance avec la fédération de test
  • 4. Test dans la fédération de test
• Branchement avec le service d'authentification CAS
  • 1. Configuration
• Configurations avancées
  • 1. Définition de nouveaux attributs
• Automatiser la gestion des filtres d'attributs
  • 1. Problématique de la maintenance du fichier attribute-filter.xml
  • 2. Automatisation de la gestion des filtres
  • 3. Exemples de configuration de attribute-filters.xml
  • 4. Limiter la diffusion des attributs
• Configuration avancée de attribute-resolver.xml
  • 1. Créer un attribut persistentID/eduPersonTargetedId
    • 1.1 Création de la base de données
    • 1.2 Configuration de l'IdP Shibboleth pour utiliser un identifiant persistent stocké
  • 2. Fournir un eduPersonEntitlement
• Pour aller plus loin
  • 1. Passage en production
  • 2. Migration en IdP 4
  • 3. Configuration pour eduGAIN
  • 4. Personnaliser l'interface utilisateur
  • 5. Single Logout
  • 6. Sécurisation de l'IDP
  • 7. Configurer le rechargement des fichiers de configuration
  • 8. Gestion des logs
  • 9. Consentement utilisateur
  • 10. Court-circuiter le WAYF/DS
• Annexe : Glossaire