Click here for the english version

Le service des comptes CRU

1. Présentation du service

Le service des comptes CRU est un fournisseur d'identité “virtuel”. Il permet aux utilisateurs dont l'organisme de rattachement ne possède pas de fournisseur d'identité enregistré dans la Fédération Education-Recherche de se créer un compte (nommé “compte CRU”) utilisable pour accéder via Shibboleth à certains fournisseurs de services.
Ce fournisseur d'identités est dit virtuel dans le sens où il n'est pas rattachés à un établissement précis. Il ne fait pas partie de la fédération Éducation Recherche.

2. Accès au service

Le service des comptes CRU est accessible à l'adresse suivante : https://cru.renater.fr/sac/

3. Intérêt et cas d'usage

Le fournisseur d'identité des comptes CRU est utile à certains fournisseurs de service qui sont dans la situation suivante : une partie de leurs utilisateurs ne sont pas rattachés à un établissement qui est fournisseur d'identité dans la Fédération Education-Recherche.
Cela peut être des chercheurs étrangers, des partenaires privés, des personnes rattachées à des établissements qui ne sont pas encore inscrits dans la Fédération Éducation-Recherche. Pour gérer l'accès de ces utilisateurs, soit le fournisseur de services implémente un système d'authentification dédié, soit il utilise un fournisseur d'identité “virtuel” comme les comptes CRU. Cette seconde solution lui évite de faire cohabiter deux systèmes d'accès, un via Shibboleth et un autre avec un système dédié.

4. Niveau de confiance des comptes CRU

Le niveau de confiance ou d'assurance est une notion qui concerne le niveau de qualité d'enregistrement d'un profil et le niveau de l'authentification des utilisateurs. Il est admis actuellement l'existence de quatre niveaux de confiance (en anglais connus sous le terme “Level of Assurance” LoA) voir le document du NIST.
En prenant ce document comme référence on peut évaluer le LoA des Comptes CRU à 1. En effet, celui-ci permet uniquement d'assurer qu'un utilisateur ayant créé un compte avait effectivement l'accès à l'adresse email associée au compte lors de sa création. Il faut en effet pouvoir accéder à l'adresse email que l'on déclare lors de la création pour valider le compte. L'utilisation d'adresses mail temporaires ou jetables est interdit dans les comptes CRU.

5. Attributs fournis par le fournisseur d'identité des comptes CRU

Attributs systématiquement fournis :

  1. la langue associée au compte, 'en' pour anglais et 'fr' pour français (attribut urn:mace:dir:attribute-def:preferredLanguage) ;
  2. un identifiant opaque et persistent dépendant du fournisseur de service accédé, le eduPersonTargetedID qualifié aussi de SAML2PersistentID (attribut urn:oid:1.3.6.1.4.1.5923.1.1.1.10)

Attributs complémentaires :

  1. une adresse email (attribut urn:mace:dir:attribute-def:mail) ;
  2. eduPersonPrincipalName (eppn). Attribut opaque, unique de type numérique concaténé à une portée : 'xxxxxx@sac.cru.fr' (attribut urn:mace:dir:attribute-def:eduPersonPrincipalName).
  3. un nom (attribut urn:mace:dir:attribute-def:sn) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
  4. un prénom (attribut urn:mace:dir:attribute-def:givenName) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
  5. la concaténation prénom/nom (attribut urn:mace:dir:attribute-def:displayName)(selon que l'utilisateur l'a renseigné ou non dans son compte CRU).

Quand vous déclarez les attributs consommés par votre ressource vous devez les signaler soit comme :

  • Obligatoires : Les comptes CRU fourniront alors ces attributs
  • Optionnels : Les comptes CRU ne fourniront pas ces attributs.

Pour connaître le nom de la variable d'environnement associé à ces attributs, consultez le fichier attribute-map.xml de votre fournisseur de services Shibboleth. Chaque attribut est mentionné dans l'attribut XML Name et le nom de la variable d'environnement associé construite à partir de la valeur de l'attribut XML Header auquel est préfixé 'HTTP_', le tout transformé en majuscule et les '-' sont transformés en '_'. Vous pouvez voir les correspondances généralement utilisées sur la page des attributs de la Fédération Education-Recherche.

6. Sécurité et disponibilité du service des comptes CRU

Le fournisseur d'identité “Comptes CRU” est un service proposé gratuitement à la communauté enseignement supérieur et recherche française. RENATER ne spécifie pas un niveau de sécurisation de ce service et n‘offre aucune garantie formelle pour la sécurité des comptes hébergés.

Cependant nous pouvons vous apporter les éléments suivants :

  • Les briques logicielles utilisées pour assurer ce service (Shibboleth, Tomcat) sont open-source, utilisées par de très nombreuses institutions et réputées fiables et sécurisées. Elles sont systématiquement mises à jour en cas d‘alertes de sécurité.
  • RENATER est une organisation d‘expertise pour la communauté enseignement supérieur et la recherche, notamment dans le domaine de la sécurité applicative et réseau. Cette expertise est bien sûr appliquée à la conception et l‘administration des propres service proposés par RENATER, dont les Comptes CRU.
  • Le niveau de confiance que l'on peut avoir dans un compte CRU est décrit ci-dessous.
Ce fournisseur d'identités est normalement disponible tout au long de l‘année. Les interruptions du service pour maintenance ou évolution de la plate-forme sont toujours annoncées aux gestionnaires d'applications qui nous ont notifiés l'utilisation de ce service. Elles durent au plus quelques heures sauf incident grave. RENATER ne s'engage pas sur un niveau de disponibilité minimal pour ce service.

7. Liste de diffusion du service des comptes CRU

Si vous êtes administrateur d'un service utilisant les comptes CRU, vous pouvez vous abonner à la liste de diffusion https://listes.renater.fr/sympa/info/comptes-cru-users afin d'être notifié en cas de mises à jour ou de maintenance du service :

8. FAQ

Pour plus de détails, vous pouvez consulter la FAQ des Comptes CRU.