Le service des comptes CRU est un fournisseur d'identité “virtuel”. Il permet aux utilisateurs dont l'organisme de rattachement ne possède pas de fournisseur d'identité enregistré dans la Fédération Education-Recherche de se créer un compte (nommé “compte CRU”) utilisable pour accéder via Shibboleth à certains fournisseurs de services.
Ce fournisseur d'identité est dit virtuel dans le sens où il n'est pas rattaché à un établissement précis. Il ne fait pas partie de la fédération Éducation Recherche.

Le service des comptes CRU est accessible à l'adresse suivante : https://cru.renater.fr/sac/

Le fournisseur d'identité des comptes CRU est utile à certains fournisseurs de service qui sont dans la situation suivante : une partie de leurs utilisateurs ne sont pas rattachés à un établissement qui est fournisseur d'identité dans la Fédération Education-Recherche.
Cela peut être des chercheurs étrangers, des partenaires privés, des personnes rattachées à des établissements qui ne sont pas encore inscrits dans la Fédération Éducation-Recherche. Pour gérer l'accès de ces utilisateurs, soit le fournisseur de services implémente un système d'authentification dédié, soit il utilise un fournisseur d'identité “virtuel” comme les comptes CRU. Cette seconde solution lui évite de faire cohabiter deux systèmes d'accès, un via Shibboleth et un autre avec un système dédié.

Le niveau de confiance ou d'assurance est une notion qui concerne le niveau de qualité d'enregistrement d'un profil et le niveau de l'authentification des utilisateurs. Il est admis actuellement l'existence de quatre niveaux de confiance (en anglais connus sous le terme “Level of Assurance” LoA) voir le document du NIST.
En prenant ce document comme référence on peut évaluer le LoA des Comptes CRU à 1. En effet, celui-ci permet uniquement d'assurer qu'un utilisateur ayant créé un compte avait effectivement l'accès à l'adresse email associée au compte lors de sa création. Il faut en effet pouvoir accéder à l'adresse email que l'on déclare lors de la création pour valider le compte. L'utilisation d'adresses mail temporaires ou jetables est interdit dans les comptes CRU.

Attributs systématiquement fournis :

1. la langue associée au compte, 'en' pour anglais et 'fr' pour français (attribut urn:mace:dir:attribute-def:preferredLanguage) ;
2. un identifiant opaque et persistent dépendant du fournisseur de service accédé, le eduPersonTargetedID qualifié aussi de SAML2PersistentID (attribut urn:oid:1.3.6.1.4.1.5923.1.1.1.10)

Attributs complémentaires :

1. une adresse email (attribut urn:mace:dir:attribute-def:mail) ;
2. eduPersonPrincipalName (eppn). Attribut opaque, unique de type numérique concaténé à une portée : 'xxxxxx@sac.cru.fr' (attribut urn:mace:dir:attribute-def:eduPersonPrincipalName).
3. un nom (attribut urn:mace:dir:attribute-def:sn) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
4. un prénom (attribut urn:mace:dir:attribute-def:givenName) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
5. la concaténation prénom/nom (attribut urn:mace:dir:attribute-def:displayName)(selon ce que l'utilisateur a renseigné comme nom et prénom dans son compte CRU).
6. la concaténation nom/prénom (attribut urn:mace:dir:attribute-def:cn)(selon ce que l'utilisateur a renseigné comme nom et prénom dans son compte CRU).
7. Depuis le 14/12/2022, les attributs subject-id et pairwise-id décrits dans SAML V2.0 Subject Identifier Attributes.

Quand vous déclarez les attributs consommés par votre ressource vous devez les signaler soit comme :

• Obligatoires : Les comptes CRU fourniront alors ces attributs
• Optionnels : Les comptes CRU ne fourniront pas ces attributs.

Pour connaître le nom de la variable d'environnement associé à ces attributs, consultez le fichier attribute-map.xml de votre fournisseur de services Shibboleth. Chaque attribut est mentionné dans l'attribut XML Name et le nom de la variable d'environnement associé construite à partir de la valeur de l'attribut XML Header auquel est préfixé 'HTTP_', le tout transformé en majuscule et les '-' sont transformés en '_'. Vous pouvez voir les correspondances généralement utilisées sur la page des attributs de la Fédération Education-Recherche.

Le fournisseur d'identité “Comptes CRU” est un service proposé gratuitement à la communauté enseignement supérieur et recherche française. RENATER ne spécifie pas un niveau de sécurisation de ce service et n‘offre aucune garantie formelle pour la sécurité des comptes hébergés.

Cependant nous pouvons vous apporter les éléments suivants :

• Les briques logicielles utilisées pour assurer ce service (Shibboleth, Tomcat) sont open-source, utilisées par de très nombreuses institutions et réputées fiables et sécurisées. Elles sont systématiquement mises à jour en cas d‘alertes de sécurité.
• RENATER est une organisation d‘expertise pour la communauté enseignement supérieur et la recherche, notamment dans le domaine de la sécurité applicative et réseau. Cette expertise est bien sûr appliquée à la conception et l‘administration des propres service proposés par RENATER, dont les Comptes CRU.
• Le niveau de confiance que l'on peut avoir dans un compte CRU est décrit ci-dessous.

Pour autoriser les comptes CRU dans un SP, veuillez vous référer à la fiche technique Configurer un SP pour accepter les accès via les comptes CRU.

Si vous êtes administrateur d'un service utilisant les comptes CRU, vous pouvez vous abonner à la liste de diffusion https://listes.renater.fr/sympa/info/comptes-cru-users afin d'être notifié en cas de mises à jour ou de maintenance du service.

Pour plus de détails, vous pouvez consulter la FAQ des Comptes CRU.

• La charte graphique de la page de connexion des comptes CRU sera différente de la charte actuelle. En effet, la nouvelle charte graphique est similaire à celle du service de découverte de la fédération (https://discovery.renater.fr/).

• Le chiffrement des mots de passe et la politique de mots de passe évolue (méthode de chiffrement et politique de mot de passe plus moderne et plus sécurisée)
• Les utilisateurs des comptes CRU (après cette mise à jour) seront amenés à mettre à jour leur mot de passe lors de leur première connexion
• Les changements de mots de passe et la récupération des mots de passe perdus sont accessibles directement à partir de la page d’authentification

• Un formulaire a été ajouté sur l’interface de gestion des comptes permettant d’activer un compte qui aurait été créé mais pas encore activé (dans le cas où le mail d’activation n’a pas été reçu ou supprimé par erreur par l’utilisateur)
• Les utilisateurs pourront savoir dès la connexion si leur compte est activé et dans le cas échéant relancer l’activation par mail

• Les informations obligatoires à remplir pour créer un compte CRU sont une adresse mail valide. Le nom et le prénom sont dorénavant obligatoires
• Il est interdit d’utiliser des adresses email temporaires ou jetables pour créer un compte CRU (de type « yopmail »)

• Les comptes CRU compromis ou ne respectant les règles d’usage décrits sur la documentation du service des comptes CRU peuvent être désactivés (suspendus) et ne pourront plus être utilisés pour se connecter.
• Evolution : un mail peut être envoyé à l’utilisateur notifiant la suspension de son compte
• Evolution : au moment de la connexion, l’utilisateur sera notifié que son compte n’est pas activé

• Les comptes CRU sont supprimés au bout de 2 ans d’inactivité
• Evolution : une première notification sera transmise par mail au différents comptes allant être supprimés au moins 15 jours avant la date de suppression
• Evolution : un mail est envoyé automatiquement pour notifier la suppression du compte

• Ajout d'une nouvelle page de consentement qui affiche la liste des informations personnelles transmises au service accédé au moment de la connexion.

• Les comptes CRU sont supprimés au bout de 1 an d’inactivité

• Amélioration du lien de réinitialisation du mot de passe reçu par mail
• Affichage en français des messages de complexité du mot de passe saisi par l'utilisateur lors de la (ré)initialisation du mot de passe

• Affichage du service fédéré sur lequel se connecte l'utilisateur directement sur la mire d'authentification des comptes CRU

• Amélioration du lien de réinitialisation du mot de passe qui pouvait ne pas être utilisable dans certaines circonstances exceptionnelles.

• La charte graphique de l'interface de création et de gestion des comptes CRU est uniformisée avec la page de connexion des comptes CRU.

• Amélioration de la charte graphique de l'interface de création et du formulaire d'authentification
• Amélioration de l'accessibilité
• Ajout de la possibilité de visualiser les mots de passe lors de la saisie ou de la modification
• Affichage éventuel de notifications ou messages du jour (motd) au moment de la connexion
• Gestion des attributs SAML pairwise-id et subject-id
• Gestion du SLO (déconnexion centralisée)