Click here for the english version

Le service des comptes CRU

La nouvelle version des comptes CRU est en place.
Cette nouvelle version corrige certains bugs connus et améliore la fiabilité et la sécurité du service : evolutions_des_comptes_cru
Les utilisateurs des comptes CRU sont amenés à mettre à jour leur mot de passe lors de leur première connexion.

1. Présentation du service

Le service des comptes CRU est un fournisseur d'identité “virtuel”. Il permet aux utilisateurs dont l'organisme de rattachement ne possède pas de fournisseur d'identité enregistré dans la Fédération Education-Recherche de se créer un compte (nommé “compte CRU”) utilisable pour accéder via Shibboleth à certains fournisseurs de services.
Ce fournisseur d'identité est dit virtuel dans le sens où il n'est pas rattaché à un établissement précis. Il ne fait pas partie de la fédération Éducation Recherche.

2. Accès au service

Le service des comptes CRU est accessible à l'adresse suivante : https://cru.renater.fr/sac/

3. Intérêt et cas d'usage

Le fournisseur d'identité des comptes CRU est utile à certains fournisseurs de service qui sont dans la situation suivante : une partie de leurs utilisateurs ne sont pas rattachés à un établissement qui est fournisseur d'identité dans la Fédération Education-Recherche.
Cela peut être des chercheurs étrangers, des partenaires privés, des personnes rattachées à des établissements qui ne sont pas encore inscrits dans la Fédération Éducation-Recherche. Pour gérer l'accès de ces utilisateurs, soit le fournisseur de services implémente un système d'authentification dédié, soit il utilise un fournisseur d'identité “virtuel” comme les comptes CRU. Cette seconde solution lui évite de faire cohabiter deux systèmes d'accès, un via Shibboleth et un autre avec un système dédié.

4. Niveau de confiance des comptes CRU

Le niveau de confiance ou d'assurance est une notion qui concerne le niveau de qualité d'enregistrement d'un profil et le niveau de l'authentification des utilisateurs. Il est admis actuellement l'existence de quatre niveaux de confiance (en anglais connus sous le terme “Level of Assurance” LoA) voir le document du NIST.
En prenant ce document comme référence on peut évaluer le LoA des Comptes CRU à 1. En effet, celui-ci permet uniquement d'assurer qu'un utilisateur ayant créé un compte avait effectivement l'accès à l'adresse email associée au compte lors de sa création. Il faut en effet pouvoir accéder à l'adresse email que l'on déclare lors de la création pour valider le compte. L'utilisation d'adresses mail temporaires ou jetables est interdit dans les comptes CRU.

5. Attributs fournis par le fournisseur d'identité des comptes CRU

Attributs systématiquement fournis :

  1. la langue associée au compte, 'en' pour anglais et 'fr' pour français (attribut urn:mace:dir:attribute-def:preferredLanguage) ;
  2. un identifiant opaque et persistent dépendant du fournisseur de service accédé, le eduPersonTargetedID qualifié aussi de SAML2PersistentID (attribut urn:oid:1.3.6.1.4.1.5923.1.1.1.10)

Attributs complémentaires :

  1. une adresse email (attribut urn:mace:dir:attribute-def:mail) ;
  2. eduPersonPrincipalName (eppn). Attribut opaque, unique de type numérique concaténé à une portée : 'xxxxxx@sac.cru.fr' (attribut urn:mace:dir:attribute-def:eduPersonPrincipalName).
  3. un nom (attribut urn:mace:dir:attribute-def:sn) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
  4. un prénom (attribut urn:mace:dir:attribute-def:givenName) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
  5. la concaténation prénom/nom (attribut urn:mace:dir:attribute-def:displayName)(selon ce que l'utilisateur a renseigné comme nom et prénom dans son compte CRU).
  6. la concaténation nom/prénom (attribut urn:mace:dir:attribute-def:cn)(selon ce que l'utilisateur a renseigné comme nom et prénom dans son compte CRU).

Quand vous déclarez les attributs consommés par votre ressource vous devez les signaler soit comme :

  • Obligatoires : Les comptes CRU fourniront alors ces attributs
  • Optionnels : Les comptes CRU ne fourniront pas ces attributs.

Pour connaître le nom de la variable d'environnement associé à ces attributs, consultez le fichier attribute-map.xml de votre fournisseur de services Shibboleth. Chaque attribut est mentionné dans l'attribut XML Name et le nom de la variable d'environnement associé construite à partir de la valeur de l'attribut XML Header auquel est préfixé 'HTTP_', le tout transformé en majuscule et les '-' sont transformés en '_'. Vous pouvez voir les correspondances généralement utilisées sur la page des attributs de la Fédération Education-Recherche.

6. Sécurité et disponibilité du service des comptes CRU

Le fournisseur d'identité “Comptes CRU” est un service proposé gratuitement à la communauté enseignement supérieur et recherche française. RENATER ne spécifie pas un niveau de sécurisation de ce service et n‘offre aucune garantie formelle pour la sécurité des comptes hébergés.

Cependant nous pouvons vous apporter les éléments suivants :

  • Les briques logicielles utilisées pour assurer ce service (Shibboleth, Tomcat) sont open-source, utilisées par de très nombreuses institutions et réputées fiables et sécurisées. Elles sont systématiquement mises à jour en cas d‘alertes de sécurité.
  • RENATER est une organisation d‘expertise pour la communauté enseignement supérieur et la recherche, notamment dans le domaine de la sécurité applicative et réseau. Cette expertise est bien sûr appliquée à la conception et l‘administration des propres service proposés par RENATER, dont les Comptes CRU.
  • Le niveau de confiance que l'on peut avoir dans un compte CRU est décrit ci-dessous.
Ce fournisseur d'identités est normalement disponible tout au long de l‘année. Les interruptions du service pour maintenance ou évolution de la plate-forme sont toujours annoncées aux gestionnaires d'applications qui nous ont notifiés l'utilisation de ce service. Elles durent au plus quelques heures sauf incident grave. RENATER ne s'engage pas sur un niveau de disponibilité minimal pour ce service.

Pour autoriser les comptes CRU dans un SP, veuillez vous référer à la fiche technique Configurer un SP pour accepter les accès via les comptes CRU.

7. Liste de diffusion du service des comptes CRU

Si vous êtes administrateur d'un service utilisant les comptes CRU, vous pouvez vous abonner à la liste de diffusion https://listes.renater.fr/sympa/info/comptes-cru-users afin d'être notifié en cas de mises à jour ou de maintenance du service.

8. FAQ

Pour plus de détails, vous pouvez consulter la FAQ des Comptes CRU.

9. Evolutions des comptes CRU

Principaux changements apportés par la mise à jour du 28/08/2019

Charte graphique

  • La charte graphique de la page de connexion des comptes CRU sera différente de la charte actuelle. En effet, la nouvelle charte graphique est similaire à celle du service de découverte de la fédération (https://discovery.renater.fr/).

Gestion de mots de passe

  • Le chiffrement des mots de passe et la politique de mots de passe évolue (méthode de chiffrement et politique de mot de passe plus moderne et plus sécurisée)
  • Les utilisateurs des comptes CRU (après cette mise à jour) seront amenés à mettre à jour leur mot de passe lors de leur première connexion
  • Les changements de mots de passe et la récupération des mots de passe perdus sont accessibles directement à partir de la page d’authentification

Activation des comptes

  • Un formulaire a été ajouté sur l’interface de gestion des comptes permettant d’activer un compte qui aurait été créé mais pas encore activé (dans le cas où le mail d’activation n’a pas été reçu ou supprimé par erreur par l’utilisateur)
  • Les utilisateurs pourront savoir dès la connexion si leur compte est activé et dans le cas échéant relancer l’activation par mail

Création d’un compte

  • Les informations obligatoires à remplir pour créer un compte CRU sont une adresse mail valide. Le nom et le prénom sont dorénavant obligatoires
  • Il est interdit d’utiliser des adresses email temporaires ou jetables pour créer un compte CRU (de type « yopmail »)

Désactivation des comptes

  • Les comptes CRU compromis ou ne respectant les règles d’usage décrits sur la documentation du service des comptes CRU peuvent être désactivés (suspendus) et ne pourront plus être utilisés pour se connecter.
  • Evolution : un mail peut être envoyé à l’utilisateur notifiant la suspension de son compte
  • Evolution : au moment de la connexion, l’utilisateur sera notifié que son compte n’est pas activé

Suppression des comptes

  • Les comptes CRU sont supprimés au bout de 2 ans d’inactivité
  • Evolution : une première notification sera transmise par mail au différents comptes allant être supprimés au moins 15 jours avant la date de suppression
  • Evolution : un mail est envoyé automatiquement pour notifier la suppression du compte

Consentement relatif aux informations personnelles transmises aux services autorisant les CRU

  • Ajout d'une nouvelle page de consentement qui affiche la liste des informations personnelles transmises au service accédé au moment de la connexion.

Changements apportés le 05/11/2019

Suppression des comptes

  • Les comptes CRU sont supprimés au bout de 1 an d’inactivité