Auteurs : Guillaume Rousse, Ludovic Auxepaules, Anass Chabli

Dernière mise à jour : mars 2025.

Durée : Une journée.

Public visé : principalement les administrateurs d'un fournisseur d'identité en provenance d'un organisme d'enseignement supérieur ou de recherche.

Les formations fédération visent à décrire et expliquer les principes de bases ainsi que les évolutions et travaux liés à la fédération d'identité. Elles abordent également les différentes étapes administratives et techniques pour rejoindre la Fédération Éducation-Recherche.

Elle sont basées sur des travaux pratiques visant à installer et configurer les principales briques logicielles utilisées par la communauté (IdP, SP, WAYF).

Si vous souhaitez suivre une formation en présentiel , elles sont affichées sur le site de la fédération et annoncés dans la liste de diffusion federation-utilisateurs.

Un glossaire est disponible en fin de documentation.

Ce tutoriel montre comment mettre en œuvre un fournisseur d'identité SAML. Il est basé sur le déploiement du logiciel Shibboleth Identity Provider, en version 5.x, dans un environnement constitué de conteneurs Docker, afin de fournir des composants prêt à l'usage, mais les principes abordés sont également applicables, à d'autres environnements, d'autres versions, voire d'autres implémentations.

À l'issue de ce TP vous maîtriserez les bases de l'installation et la configuration de ce logiciel, et vous pourrez envisager d'un déployer un dans un environnement de production, afin de l'intégrer au système d'information de votre établissement, et de rejoindre la Fédération Education-Recherche et eduGAIN.

• connaître l'environnement Unix;

• Informations utiles
  • 1. Protocole SAML
  • 2. Rôle de la brique « Fournisseur d'Identité »
  • 3. Programme de la formation
• Mise en place de l'environnement virtuel
  • 1. Installation de logiciels
  • 2. Récupération et lancement de l'environnement
• Pré-requis
  • 1. Installation de Java
  • 2. Installation d'un serveur d'applications Java Tomcat
  • 3. Installation d'un serveur web Apache HTTPD
  • 4. Mise en place de l'accès HTTPS
• Installation de l'IdP Shibboleth
  • 1. Téléchargement et installation
  • 2. Présentation de l'arborescence des fichiers
    • 2.1 Répertoires
    • 2.2 Configuration
    • 2.3 Certificats et autres fichiers sensibles
  • 3. Configuration de Tomcat
  • 4. Vérifier le fonctionnement de l'IdP
• Mise en place d'une relation bilatérale
  • 1. Configuration IdP
  • 2. Configuration SP
  • 3. Test
• Activation de l'authentification
  • 1. Principes généraux
  • 2. Authentification LDAP
    • 2.1 Authentification directe, en clair
    • 2.2 Authentification après recherche, en utilisant TLS
• Délégation de l'authentification à un serveur CAS
  • 1. Configuration
  • 2. Test
• Mise en place de l'authentification renforcée
  • 1. Configuration du plugin TOTP
  • 2. Configuration du flux MFA
  • 3. Configuration évolutive du flux MFA
• Configuration des attributs utilisateurs
  • 1. Génération des attributs
  • 2. Formatage des attributs
  • 3. Diffusion des attributs
  • 4. Vérification de la configuration des attributs
  • 5. Test
• Stratégies de génération d'attributs
  • 1. Attribut qualifié: l'attribut eduPersonPrincipalName
  • 2. Attribut statique: l'attribut schacHomeOrganization
  • 3. Attribut scripté: l'attribut eduPersonEntitlement
  • 4. Attribut basé sur un identifiant persistant: l'attribut PairwiseID
  • 5. Attribut basé sur un template : l'attribut displayName
• Fédération de votre IdP
  • 1. Enregistrement dans la fédération de test
    • 1.1 Mise en place d'un identifiant SAML unique
    • 1.2 Déclaration de l'entité SAML
  • 2. Chargement des métadonnées de la fédération de test
  • 3. Test
• Automatiser la gestion des filtres d'attributs
  • 1. Enumération manuelle des services
  • 2. Automatisation à partir des métadonnées
• Du laboratoire au monde réel
  • 1. Installation dans un environnement adapté
  • 2. Sécurisation
  • 3. Configuration
  • 4. Personnalisation de l'interface utilisateur
• Annexe : Glossaire