Le service de découverte mis à disposition par RENATER est constitué d'une application web assurant le support des protocoles WAYF (Shibboleth) et Discovery Service (SAML2), permettant à l'utilisateur d'un service de la fédération de choisir son fournisseur d'identité à partir d'une liste constituée automatiquement à partir des métadonnées de cette fédération.

Le service offre plusieurs points de contacts différents, correspondant à plusieurs fédérations différentes:

• https://discovery.renater.fr/renater: Fédération Éducation-recherche
• https://discovery.renater.fr/edugain: fédération eduGAIN
• https://discovery.renater.fr/test: fédération de test
• https://discovery.renater.fr/qualif: fédération de qualification

Par défaut, l'interface ne propose plus l'utilisation de l'IdP du CRU, qui n'est pas inscrit dans la Fédération Education-Recherche. L'affichage de cette possibilité peut être activé en ajoutant l'option cru=yes à l'URL, c'est-à-dire par exemple https://discovery.renater.fr/renater?cru=yes

Le fait de proposer à l'utilisateur une liste données de fournisseurs d'identité, via la configuration du service de découverte, est totalement indépendante de la relation de confiance avec ces mêmes fournisseurs d'identité, qui elle se configure au niveau du fournisseur de service:

• proposer plus de fournisseurs d'identité (typiquement, l'IdP des comptes CRU) que ceux correspondant aux métadonnées effectivement chargées entrainera une erreur systématique pour les utilisateurs choisissant l'un de ceux non configuré: il s'agit d'une erreur d'expérience utilisateur
• proposer moins de fournisseurs d'identité que ceux correspondant aux métadonnées effectivement chargées n'empêchera pas un utilisateur de forcer l'utilisation d'un de ceux non présentés: il s'agit d'une erreur de sécurité

Il faut donc s'assurer de la cohérence entre la liste des fournisseurs d'identité proposés et la liste des fournisseurs d'identité configurés. Comme il n'est pas possible de réduire la liste de ceux proposés par le service de découverte de Renater, tout service choisissant de n'établir une relation de confiance qu'avec un sous-ensemble d'une fédération donnée est donc censé mettre en place son propre service de découverte.