Click here for the english version

Le service des comptes CRU

Le service des comptes CRU est un fournisseur d'identité “virtuel”. Il permet aux utilisateurs dont l'organisme de rattachement ne possède pas de fournisseur d'identité enregistré dans la Fédération Education-Recherche de se créer un compte (nommé “compte CRU”) utilisable pour accéder via Shibboleth à certains fournisseurs de services.
Ce fournisseur d'identité est dit virtuel dans le sens où il n'est pas rattaché à un établissement précis. Il ne fait pas partie de la fédération Éducation Recherche.

L'usage de comptes de test, d'adresses mail temporaires ou jetables est interdit dans les comptes CRU.
Si vous souhaitez réaliser des tests, veuillez mettre en place votre propre fournisseur d'identité ou utiliser les outils de test inscrits dans la fédération de test.

Le service des comptes CRU est accessible à l'adresse suivante : https://cru.renater.fr/sac/

Le fournisseur d'identité des comptes CRU est utile à certains fournisseurs de service qui sont dans la situation suivante : une partie de leurs utilisateurs ne sont pas rattachés à un établissement qui est fournisseur d'identité dans la Fédération Education-Recherche.
Cela peut être des chercheurs étrangers, des partenaires privés, des personnes rattachées à des établissements qui ne sont pas encore inscrits dans la Fédération Éducation-Recherche. Pour gérer l'accès de ces utilisateurs, soit le fournisseur de services implémente un système d'authentification dédié, soit il utilise un fournisseur d'identité “virtuel” comme les comptes CRU. Cette seconde solution lui évite de faire cohabiter deux systèmes d'accès, un via Shibboleth et un autre avec un système dédié.

Le niveau de confiance ou d'assurance est une notion qui concerne le niveau de qualité d'enregistrement d'un profil et le niveau de l'authentification des utilisateurs. Il est admis actuellement l'existence de quatre niveaux de confiance (en anglais connus sous le terme “Level of Assurance” LoA) voir le document du NIST.
En prenant ce document comme référence on peut évaluer le LoA des Comptes CRU à 1. En effet, celui-ci permet uniquement d'assurer qu'un utilisateur ayant créé un compte avait effectivement l'accès à l'adresse email associée au compte lors de sa création. Il faut en effet pouvoir accéder à l'adresse email que l'on déclare lors de la création pour valider le compte. L'utilisation d'adresses mail temporaires ou jetables est interdit dans les comptes CRU.

Attributs systématiquement fournis :

  1. la langue associée au compte, 'en' pour anglais et 'fr' pour français (attribut urn:mace:dir:attribute-def:preferredLanguage) ;
  2. un identifiant opaque et persistent dépendant du fournisseur de service accédé, le eduPersonTargetedID qualifié aussi de SAML2PersistentID (attribut urn:oid:1.3.6.1.4.1.5923.1.1.1.10)

Attributs complémentaires :

  1. une adresse email (attribut urn:mace:dir:attribute-def:mail) ;
  2. eduPersonPrincipalName (eppn). Attribut opaque, unique de type numérique concaténé à une portée : 'xxxxxx@sac.cru.fr' (attribut urn:mace:dir:attribute-def:eduPersonPrincipalName).
  3. un nom (attribut urn:mace:dir:attribute-def:sn) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
  4. un prénom (attribut urn:mace:dir:attribute-def:givenName) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
  5. la concaténation prénom/nom (attribut urn:mace:dir:attribute-def:displayName)(selon ce que l'utilisateur a renseigné comme nom et prénom dans son compte CRU).
  6. la concaténation nom/prénom (attribut urn:mace:dir:attribute-def:cn)(selon ce que l'utilisateur a renseigné comme nom et prénom dans son compte CRU).
  7. Depuis le 14/12/2022, les attributs subject-id et pairwise-id décrits dans SAML V2.0 Subject Identifier Attributes.

Quand vous déclarez les attributs consommés par votre ressource vous devez les signaler soit comme :

  • Obligatoires : Les comptes CRU fourniront alors ces attributs
  • Optionnels : Les comptes CRU ne fourniront pas ces attributs.

Pour connaître le nom de la variable d'environnement associé à ces attributs, consultez le fichier attribute-map.xml de votre fournisseur de services Shibboleth. Chaque attribut est mentionné dans l'attribut XML Name et le nom de la variable d'environnement associé construite à partir de la valeur de l'attribut XML Header auquel est préfixé 'HTTP_', le tout transformé en majuscule et les '-' sont transformés en '_'. Vous pouvez voir les correspondances généralement utilisées sur la page des attributs de la Fédération Education-Recherche.

Le fournisseur d'identité “Comptes CRU” est un service proposé gratuitement à la communauté enseignement supérieur et recherche française. RENATER ne spécifie pas un niveau de sécurisation de ce service et n‘offre aucune garantie formelle pour la sécurité des comptes hébergés.

Cependant nous pouvons vous apporter les éléments suivants :

  • Les briques logicielles utilisées pour assurer ce service (Shibboleth, Tomcat) sont open-source, utilisées par de très nombreuses institutions et réputées fiables et sécurisées. Elles sont systématiquement mises à jour en cas d‘alertes de sécurité.
  • RENATER est une organisation d‘expertise pour la communauté enseignement supérieur et la recherche, notamment dans le domaine de la sécurité applicative et réseau. Cette expertise est bien sûr appliquée à la conception et l‘administration des propres service proposés par RENATER, dont les Comptes CRU.
  • Le niveau de confiance que l'on peut avoir dans un compte CRU est décrit ci-dessous.
Ce fournisseur d'identités est normalement disponible tout au long de l‘année. Les interruptions du service pour maintenance ou évolution de la plate-forme sont toujours annoncées aux gestionnaires d'applications qui nous ont notifiés l'utilisation de ce service. Elles durent au plus quelques heures sauf incident grave. RENATER ne s'engage pas sur un niveau de disponibilité minimal pour ce service.

Pour autoriser les comptes CRU dans un SP, veuillez vous référer à la fiche technique Configurer un SP pour accepter les accès via les comptes CRU.

Si vous êtes administrateur d'un service utilisant les comptes CRU, vous pouvez vous abonner à la liste de diffusion https://listes.renater.fr/sympa/info/comptes-cru-users afin d'être notifié en cas de mises à jour ou de maintenance du service.

Pour plus de détails, vous pouvez consulter la FAQ des Comptes CRU.

Charte graphique

  • La charte graphique de la page de connexion des comptes CRU sera différente de la charte actuelle. En effet, la nouvelle charte graphique est similaire à celle du service de découverte de la fédération (https://discovery.renater.fr/).

Gestion de mots de passe

  • Le chiffrement des mots de passe et la politique de mots de passe évolue (méthode de chiffrement et politique de mot de passe plus moderne et plus sécurisée)
  • Les utilisateurs des comptes CRU (après cette mise à jour) seront amenés à mettre à jour leur mot de passe lors de leur première connexion
  • Les changements de mots de passe et la récupération des mots de passe perdus sont accessibles directement à partir de la page d’authentification

Activation des comptes

  • Un formulaire a été ajouté sur l’interface de gestion des comptes permettant d’activer un compte qui aurait été créé mais pas encore activé (dans le cas où le mail d’activation n’a pas été reçu ou supprimé par erreur par l’utilisateur)
  • Les utilisateurs pourront savoir dès la connexion si leur compte est activé et dans le cas échéant relancer l’activation par mail

Création d’un compte

  • Les informations obligatoires à remplir pour créer un compte CRU sont une adresse mail valide. Le nom et le prénom sont dorénavant obligatoires
  • Il est interdit d’utiliser des adresses email temporaires ou jetables pour créer un compte CRU (de type « yopmail »)

Désactivation des comptes

  • Les comptes CRU compromis ou ne respectant les règles d’usage décrits sur la documentation du service des comptes CRU peuvent être désactivés (suspendus) et ne pourront plus être utilisés pour se connecter.
  • Evolution : un mail peut être envoyé à l’utilisateur notifiant la suspension de son compte
  • Evolution : au moment de la connexion, l’utilisateur sera notifié que son compte n’est pas activé

Suppression des comptes

  • Les comptes CRU sont supprimés au bout de 2 ans d’inactivité
  • Evolution : une première notification sera transmise par mail au différents comptes allant être supprimés au moins 15 jours avant la date de suppression
  • Evolution : un mail est envoyé automatiquement pour notifier la suppression du compte

Consentement relatif aux informations personnelles transmises aux services autorisant les CRU

  • Ajout d'une nouvelle page de consentement qui affiche la liste des informations personnelles transmises au service accédé au moment de la connexion.

Suppression des comptes

  • Les comptes CRU sont supprimés au bout de 1 an d’inactivité

Gestion de mots de passe

  • Amélioration du lien de réinitialisation du mot de passe reçu par mail
  • Affichage en français des messages de complexité du mot de passe saisi par l'utilisateur lors de la (ré)initialisation du mot de passe

Charte Graphique

  • Affichage du service fédéré sur lequel se connecte l'utilisateur directement sur la mire d'authentification des comptes CRU

Gestion des mots de passe

  • Amélioration du lien de réinitialisation du mot de passe qui pouvait ne pas être utilisable dans certaines circonstances exceptionnelles.

Charte Graphique

  • La charte graphique de l'interface de création et de gestion des comptes CRU est uniformisée avec la page de connexion des comptes CRU.
  • Amélioration de la charte graphique de l'interface de création et du formulaire d'authentification
  • Amélioration de l'accessibilité
  • Ajout de la possibilité de visualiser les mots de passe lors de la saisie ou de la modification
  • Affichage éventuel de notifications ou messages du jour (motd) au moment de la connexion
  • Gestion des attributs SAML pairwise-id et subject-id
  • Gestion du SLO (déconnexion centralisée)
  • les informations de votre compte ;
  • votre éventuelle appartenance à des groupes d'utilisateurs gérés sur le site de gestion du compte CRU ;
  • les journaux de connexion.
Aucune donnée n'est collectée sur l'utilisation des applications accédées via un compte CRU.

Tout ou partie des informations de votre compte CRU peut être transmis aux applications accessibles via votre compte. Seules les informations nécessaires au bon fonctionnement d'une application sont transmises, uniquement au moment où vous accédez à l'application. Ces informations ne sont transmises à aucun autre tiers.

Les informations sur l'utilisation d'un compte CRU par son titulaire d'un compte sont uniquement destinées à l'équipe technique responsable de la gestion des comptes CRU. Ces journaux ne sont utilisés qu'à des fins de statistiques anonymisées ou pour assurer l'assistance aux utilisateurs en difficulté. Il ne peuvent être utilisés à des fins d'enquête que sur réquisition des autorités de police ou de justice présentées dans les formes légales.

3 mois à des fins d'administration, 1 an à des fins d'enquête.

Tout utilisateur peut demander l'accès aux informations le concernant, par courrier électronique à l'adresse se trouvant en haut de cette page. Il peut fermer son compte et ainsi supprimer toutes ses informations (voir plus haut “Comment fermer mon compte ?”).

Les établissements s'appuient sur le fournisseur d'identités “Comptes CRU” le temps de déployer leur propre fournisseur. Cette solution n'est que temporaire pour ces établissements.

Pour toute demande de support merci d'utiliser le formulaire de demande dédié aux comptes CRU sur le portail d'assistance RENATER. Cliquez sur “Assistance technique” dans “Services” puis veuillez indiquer le service concerné “Identité > Comptes CRU” dans le formulaire.

  • federation/outils/comptes-cru/index.txt
  • Dernière modification : 2024/01/17 14:25
  • de ludovic.auxepaules@renater.fr