Outils pour utilisateurs

Outils du site

Vous êtes ici : Portail des services RENATER » La Fédération Éducation-Recherche (FER) » Documentation » Tutoriels Shibboleth » Installation d'un SP Shibboleth et Shibbolisation d'application » Passage en production

Panneau latéral

Sommaire

Table des matières

Chapitre 9 
 Chapitre 11

Passage en production

Documentation RENATER : voir cette page

Pour finaliser l'installation avant le passage en production quelques changements s'imposent :

  • Il faut ajouter la confiance dans les méta-données de la Fédération Éducation-Recherche (production) dans le fichier /etc/shibboleth/shibboleth2.xml
  • Protéger l'application par une directive Apache
  • Décrire l'application (au sens Shibboleth) dans un nœud <ApplicationOverride>
  • S'inscrire techniquement dans la fédération de production

Les quatre étapes sont donc les suivantes.

1. Ajouter les méta-données de production

/etc/shibboleth/shibboleth2.xml
	...
<!-- Meta-données de la fédération de Éducation-Recherche -->
		<MetadataProvider type="XML" url="**https://pub.federation.renater.fr/metadata/renater/main/main-all-renater-metadata.xml**"
		backingFilePath="**main-all-renater-metadata.xml**" reloadInterval="7200">
	 <SignatureMetadataFilter certificate="/etc/shibboleth/renater-metadata-signing-cert-2016.pem"/>
			(Autres attributs possibles...)
		  </MetadataProvider>
	...

2. protéger l'application par une directive Apache

Il faut ensuite ajouter dans les règles Apache (dans le fichier shib.conf par exemple) des directives du types : 

<Location "/ressource/production">
    AuthType shibboleth
    Require shib-session
    ShibRequestSetting requireSession 0
    ShibRequestSetting applicationId ressource-production
    ShibUseHeaders on #Utilisation explicite des entêtes HTTP pour les attributs
</Location>

3. Décrire l'application dans le fichier Shibboleth2.xml

Il est conseillé de laisser le <ApplicationDefaults> décrire la SP de test et de spécifiquement créer des <ApplicationOverride> pour décrire tout nouveau SP en production. On peut ainsi définir une seule fois les paramètres communs à chaque application (au niveau ApplicationDefaults) et définir les paramètres spécifiques dans un élément ApplicationOverride.

Voir cet exemple :

/etc/shibboleth/shibboleth2.xml
 <ApplicationDefaults
...
<!-- SP de production -->
	<ApplicationOverride id="**ressource-production**"
		 entityID="https://**monposte.fr/ressource/production**">
 
	  <Sessions lifetime="28800" timeout="3600" checkAddress="false"
		    handlerURL="**/ressource/production/Shibboleth.sso**" handlerSSL="true">
...
	</ApplicationOverride>
</ApplicationDefaults>
...

4. Inscrire son SP dans la fédération de production

Suivre les étapes suivantes : voir cette page

Chapitre 9 
Accueil 
 Chapitre 11