Passage en production

Documentation RENATER : voir cette page

Pour finaliser l'installation avant le passage en production quelques changements s'imposent :

  • Il faut ajouter la confiance dans les méta-données de la Fédération Éducation-Recherche (production) dans le fichier /etc/shibboleth/shibboleth2.xml
  • Protéger l'application par une directive Apache
  • Décrire l'application (au sens Shibboleth) dans un nœud <ApplicationOverride>
  • S'inscrire techniquement dans la fédération de production

Les quatre étapes sont donc les suivantes.

/etc/shibboleth/shibboleth2.xml
	...
<!-- Meta-données de la fédération de Éducation-Recherche -->
		<MetadataProvider type="XML" url="**https://pub.federation.renater.fr/metadata/renater/main/main-all-renater-metadata.xml**"
		backingFilePath="**main-all-renater-metadata.xml**" reloadInterval="7200">
	 <SignatureMetadataFilter certificate="/etc/shibboleth/renater-metadata-signing-cert-2016.pem"/>
			(Autres attributs possibles...)
		  </MetadataProvider>
	...

Il faut ensuite ajouter dans les règles Apache (dans le fichier shib.conf par exemple) des directives du types :

<Location "/ressource/production">
    AuthType shibboleth
    Require shib-session
    ShibRequestSetting requireSession 0
    ShibRequestSetting applicationId ressource-production
    ShibUseHeaders on #Utilisation explicite des entêtes HTTP pour les attributs
</Location>

Il est conseillé de laisser le <ApplicationDefaults> décrire la SP de test et de spécifiquement créer des <ApplicationOverride> pour décrire tout nouveau SP en production. On peut ainsi définir une seule fois les paramètres communs à chaque application (au niveau ApplicationDefaults) et définir les paramètres spécifiques dans un élément ApplicationOverride.

Voir cet exemple :

/etc/shibboleth/shibboleth2.xml
 <ApplicationDefaults
...
<!-- SP de production -->
	<ApplicationOverride id="**ressource-production**"
		 entityID="https://**monposte.fr/ressource/production**">
 
	  <Sessions lifetime="28800" timeout="3600" checkAddress="false"
		    handlerURL="**/ressource/production/Shibboleth.sso**" handlerSSL="true">
...
	</ApplicationOverride>
</ApplicationDefaults>
...

Suivre les étapes suivantes : voir cette page

  • federation/documentation/guides-installation/sp3/chap10.txt
  • Dernière modification : 2021/02/02 11:07
  • de geoffroy.arnoud@renater.fr