Table des matières

Questions et réponses, introduction pour les gestionnaires de ressources (service providers)

Cette page liste les premières questions que peut se poser un fournisseur de services potentiel à propos de Shibboleth.

Comment l'utilisateur final utilise-t-il Shibboleth ?

SWITCH a réalisé un site de démonstration de Shibboleth en ligne qui permet de voir comment un utilisateur final utilise Shibboleth. Des démonstrations plus techniques expliquent le fonctionnement de Shibboleth.

Shibboleth est-il bien sécurisé ?

Shibboleth est une norme et un produit open source développés par Internet2. Il s'appuie sur SAML, qui est la norme de référence dans le domaine de la sécurisation des services web. Shibboleth est développé par des experts de plusieurs universités américaines, qui ont contribué de manière significative à SAML.

Il a été l'objet de plusieurs failles de sécurité, qui ont été annoncées par Internet2 avec leur correctif.

Ce document détaille la sécurité apportée par Shibboleth.

Quels fournisseurs de services utilisent déjà Shibboleth ?

Dans le domaine commercial, plusieurs prestataires s'appuient sur Shibboleth pour authentifier des étudiants, personnels et chercheurs de plusieurs pays, voir la liste des ressources de la fédération Education-Recherche.

Une liste complète des services et applications compatibles avec Shibboleth est disponible sur cette page.

La technologie Shibboleth peut-elle cohabiter avec des méthodes d'accès de type reverse proxy ?

Oui, il est possible pour un site de faire cohabiter un accès via Shibboleth avec d'autres types de mode d'accès. Dans la mesure où tous les établissements d'enseignement supérieur et de recherche ne sont pas encore fournisseur d'identités Shibboleth, il faudra continuer à faire cohabiter plusieurs modes d'accès pendant au moins un moment.

Quelle est la relation entre Shibboleth et la technologie CAS ?

Shibboleth est-il utilisable depuis des téléphones portables ?

Shibboleth s'appuie sur les mécanismes standard HTTP ; il est donc a priori compatible avec tout type de terminal disposant d'un navigateur internet.

Comment rendre compatible un service en ligne ou une application avec Shibboleth ?

Ce guide décrit la démarche pour rendre compatible un service en ligne ou une application avec Shibboleth.

Combien de temps faut-il pour installer un fournisseur de services Shibboleth ?

Cela dépend de plusieurs facteurs :

  • l'environnement (système d'exploitation, serveur web, langage de l'application) dans lequel on souhaite installer Shibboleth ;
  • les connaissances préalables que l'on a sur les technologies utilisées par Shibboleth : HTTP, certificats X.509, Apache ou IIS ;
  • la maîtrise que l'on a de l'application/site web que l'on souhaite rendre compatible avec Shibboleth.

N'hésitez pas à nous contacter pour évaluer ensemble l'effort à fournir dans votre cas.

Sur quels environnement est disponible Shibboleth pour un fournisseur de services ?

Voir cette page, dans la colonne 'Service Provider'.

Ai-je besoin de certificats ?

Vous aurez besoin d'un certificat serveur X.509 classique pour sécuriser l'accès à votre site web (utilisation de HTTPS).
La brique logicielle Shibboleth utilise un autre certificat X.509, mais celui-ci est généré automatiquement (certificat auto-signé).

Qu'est-ce qu'un WAYF ou Service de Découverte ? En tant que fournisseur de services dois-je en installer un ?

Un WAYF est un élément indispensable pour l'accès à un fournisseur de services. Dans la fédération Education-Recherche il n'y a pas de WAYF centralisé que pourrait utiliser un fournisseur de services. Il doit installer son propre WAYF ou utiliser un WAYF déjà existant, par exemple dans le WAYF d'un UNR s'il existe déjà.

Une FAQ dédiée aux WAYF donne plus d'indications sur les WAYF.

Quels utilisateurs peuvent accéder à mon service via Shibboleth dans la fédération Education-Recherche ?

Il s'agit uniquement des étudiants, personnels et chercheurs des établissements d'enseignements supérieur et de recherche français. Il est possible pour votre service de restreindre cette population à un sous-ensemble, par exemple seulement les étudiants, ou les étudiants de certaines universités, ou une liste énumérée de personnes, etc.

Comment limiter l'accès aux ressources d'un SP à des utilisateurs de certains IDP ?

Ceci peut être réalisé au niveau applicatif. Mais il est préférable, pour des raisons de sécurité, d'appliquer cette restriction à la couche SP shibboleth.

Ca se fait dans le fichier /etc/shibboleth.xml (SP en version 1.3.x) :

<MetadataProvider type="edu.internet2....XMLMetadata" uri="/etc/shibboleth/cru-pilote-metadata.xml">
  <MetadataFilter type="Whitelist">
    <Include>urn:mace:cru.fr:federation:univ1.fr</Include>
    <Include>urn:mace:cru.fr:federation:univ2.fr</Include>
  </MetadataFilter>
</MetadataProvider>

Ici, on 'autorise que les utilisateurs authentifié dans les IDP univ1.fr et univ2.fr

Quels attributs et identifiants sont disponibles dans la fédération Education-Recherche ?

Ils sont listés sur cette page.

Cependant, les attributs nominatifs ne sont généralement pas transmis par les organismes. Le besoin d'un attribut devra dans tous les cas être justifié lors de l'enregistrement de votre ressource dans la fédération.

Comment tester Shibboleth ?

Vous pouvez tester Shibboleth en suivant les instructions de TestShib. Si vous comptez participer à la fédération Education-Recherche, vous pouvez commencer directement par la fédération de test,

Peut-on accéder aux attributs nominatifs de l'utilisateur (nom, prénom, email) ?

À priori non. La diffusion de données nominatives via les mécanismes de la fédération est soumise à la législation sur la protection des données à caractère personnel. Vous pouvez consulter le guide Informatique et Libertés pour l’enseignement supérieur et la recherche qui traite de cette problématique dans la fiche 10.

Le CRU n'intervient pas dans la négociation sur les attributs diffusés par des établissements vers un éditeur via la fédération, il faut contacter directement le consortium Couperin ou les établissements concernés.

La discipline suivie par un étudiant et qui peut être transmise par Shibboleth utilise-t-elle une nomenclature nationale ?

La dernière version de Supann définit des attributs représentant la formation suivie par un étudiant. Cependant ces attributs récents ne seront adoptés que progressivement par les établissements d'enseignement supérieur.

L'attribut eduPersonTargetedId est-il utilisable pour gérer des préférences utilisateur ?

Tout à fait, votre application peut assurer une correspondance entre un eduPersonTargetedId et un identifiant utilisateur dans votre application.

Comment un utilisateur peut-il faire référence à son compte lors de nos échanges ?

Si l'université de rattachement de l'utilisateur transmet un attribut eduPersonTargetedId vous pouvez l'utiliser pour initier la création d'un compte utilisateur dans votre application lors de la première connexion de l'utilisateur. A priori, il s'agira d'un compte sans mot de passe associé, puisque l'utilisateur sera déjà authentifié via Shibboleth. Avantage de ce mode de fonctionnement : le compte utilisateur dans votre application pourra persister, après le départ de l'étudiant de son université. Il faut alors lui fournir un mot de passe, car il ne sera plus en mesure de se connecter via son ancienne université.

Mon site doit-il impérativement comporter la liste des universités sous la forme du WAYF ?

Ce mode d'accès à vos ressource est compléméntaire de l'accès, plus direct, depuis l'ENT de l'université. Vous avez la liberté d'implémenter un WAYF ou non.

Quelle est la durée d'une session Shibboleth ?

Le durée d'une session Shibboleth est paramétrable à la fois au niveau du fournisseur d'identités et du fournisseur de services. Par ailleurs, si vous utilisez le mécanisme des lazy sessions, vous créez une session applicative, dissociée de la session Shibboleth.