Click here for the english version

Fonctionnement du guichet V3.2

1. Description du service

Le guichet de la fédération est un service en ligne, permettant aux contacts fédération de la communauté Éducation-Recherche de gérer leurs entités SAML (fournisseurs d'identité et de service), et de les enregistrer dans une ou plusieurs fédérations gérées par RENATER. Il permet également un accès non authentifié aux informations publiques concernant ces entités.

Les informations techniques collectées au travers du guichet sont ensuite publiées dans les méta-données des fédérations souscrites.

2. Fédérations disponibles sur le guichet

Le guichet gère l'enregistrement à plusieurs types de fédérations :

  • Une fédération de test, en accès libre ;
  • Différentes fédérations de production (Fédération Éducation-Recherche, inter-fédération eduGAIN, fédérations locales) qui demandent de la part de l'organisme une souscription préalable du service Fédération d'identités auprès de RENATER.

L'enregistrement d'une entité SAML dans l'une ou l'autre de ces fédérations via le guichet est décrite plus en détail dans la suite de ce document.

2.1 Fédération de test

Le guichet propose une fédération de test, en accès libre, afin de tester rapidement la configuration et le bon fonctionnement de son fournisseur d'identité (IDP) ou de service (SP).
Tout utilisateur authentifié (voir §3.2 ci-dessous) peut enregistrer un IDP ou SP dans la fédération de test, aucune démarche administrative préalable auprès de RENATER n'est requise dans ce cas.

2.2 Fédérations de production

2.2.1 Pré-requis

Les organismes souhaitant déclarer une ou plusieurs entités SAML dans une fédération de production (Fédération Éducation-Recherche, inter-fédération eduGAIN ou fédération locale) doivent au préalable souscrire au service fédération d'identités auprès de RENATER.

Le type d'entité SAML pouvant être enregistrée dans une fédération de production est conditionné par la nature de l'établissement (membre ou partenaire) :
  • Un organisme membre peut indifféremment déclarer des IDP et/ou SP ;
  • Un organisme partenaire est quant à lui limité à la déclaration de SP.

2.2.2 Fédération Éducation-Recherche

Le guichet permet d'inscrire une entité SAML dans la Fédération Éducation-Recherche.
La Fédération Éducation-Recherche est un service opéré par le GIP RENATER à destination de la communauté éducation-recherche française. Elle offre un cadre d’interopérabilité et de confiance permettant la mise en relation et l’échange de données entre fournisseurs d'identités et de services appartenant à des organismes participants distincts.

2.2.3 Inter-fédération eduGAIN

L'enregistrement d'une entité SAML dans eduGAIN requiert que cette dernière ait au préalable été enregistrée dans la Fédération Éducation-Recherche.

Le guichet permet d'inscrire une entité SAML dans l'inter-fédération eduGAIN.
L'inter-fédération eduGAIN est le service d'interconnexion des fédérations nationales opéré par GEANT, le réseau européen de la recherche.

2.2.4 Fédération locale

Le guichet offre la possibilité de gérer une fédération locale à un établissement, hébergée par RENATER.
Une fédération locale permet à un établissement d'enregistrer des entités SAML dans sa propre fédération avec le même niveau de confiance que la Fédération Éducation-Recherche et de publier le fichier de méta-données associé à cette fédération locale.

3. Accès au guichet

La page d'accueil du guichet est disponible à l'adresse suivante : https://registry.federation.renater.fr/.

Elle offre à l'utilisateur la possibilité de :
- Consulter certaines informations publiques en mode non authentifié ;
- D'accéder, après authentification, à l'espace de gestion des entités SAML.

3.1 Accès aux informations publiques du guichet (non authentifié)

Certaines informations publiques du guichet peuvent être consultées en mode non authentifié. Elles sont accessibles via les rubriques du menu supérieur de la page d'accueil (encadré violet) :

Sont consultables notamment :

  • Fédérations : description des fédérations publiques disponibles sur le guichet (page web de présentation de la fédération, liste des IdPs/SPs enregistrés, fichiers de métadonnées associés) ;
  • Attributs : description des attributs en vigueur dans un contexte de fédération d'identités ;
  • Catégories de service : description des catégories existantes de SP (types et audiences).

3.2 Accès à l'espace de gestion des entités SAML (authentification requise)

L'accès à l'espace de gestion des entités SAML requiert une authentification préalable via le bouton de connexion du bandeau supérieur (encadré violet).

Le processus d’authentification du guichet est basé sur le mécanisme de fédérations d’identités en vigueur.
L’utilisateur peut ainsi s’authentifier via l’IdP de son établissement d’origine (si ce dernier dispose d’un IdP en production) ou à défaut en utilisant un compte CRU. Dans ce dernier cas, l’utilisateur devra d’abord créer son compte CRU via le service de gestion des comptes CRU avant de sélectionner « Comptes CRU » dans l'écran de sélection de l'établissement lors du processus de connexion (cf. capture ci-dessous)

4. Autorisations utilisateur

Les opérations autorisées sur le guichet pour un utilisateur sont fonction de son appartenance à l'un des deux rôles décrits ci-après.

4.1 Rôles utilisateur

4.1.1 Responsable d'une entité SAML

Le responsable d’une entité SAML - appelé plus succinctement “responsable d'entité” - est la personne côté organisme en charge de gérer cette entité sur le guichet et qui est renseigné à la création de cette dernière.

Au moins un responsable d'entité est obligatoirement renseigné (via la saisie d'une adresse email) à la création d'une entité SAML sur le guichet.
A noter que le guichet renseigne par défaut le premier responsable entité avec les informations de l’utilisateur authentifié à l’origine de la création (sur la base des informations renvoyées par son IdP de connexion).

4.1.2 Responsable fédération d'un organisme

Le responsable fédération d'un organisme - appelé plus succinctement “responsable d'organisme” - est :

  • Pour les organismes membres : synchronisé depuis PASS.
  • Pour les organismes partenaires : le contact fédération renseigné dans la charte Fédération Partenaire (document à compléter pour la souscription au service fédération d’identités).
Quelle que soit sa nature (membre ou partenaire), un organisme doit a minima renseigner deux contacts fédération lors de la souscription au service fédération d’identités auprès de RENATER.

4.2 Autorisations associées aux rôles

Opérations disponibles sur le guichet Responsable entité SAML Responsable fédération organisme
Créer / modifier / supprimer une entité SAML X X
Visualiser dans la liste des entités du guichet une entité SAML dont il est responsable X X
Rattacher une entité SAML à un organisme X X
Enregistrer une entité SAML dans une ou plusieurs fédérations X X
Visualiser dans la liste des entités du guichet l'ensemble des entités SAML de son organisme X
Valider ou refuser certaines opérations (*) X

(*) Certaines opérations effectuées par le responsable entité sont sujettes à modération (validation ou refus) par le responsable fédération de son organisme, en particulier :

  • Demande de rattachement d'une entité SAML à un organisme ;
  • Demande d'enregistrement d’une entité SAML dans une fédération de production.

4.3 Schéma de synthèse

Un bon schéma valant mieux qu'un long discours, voici un hypothétique établissement auquel sont rattachés cinq entités SAML, ainsi que leurs responsables respectifs:

  • Alice et Bob sont les responsables fédération de l'organisme, ils ont les droits en lecture et écriture sur l'ensemble des entités SAML rattachées à cet organisme
  • Alice et Bob sont également les responsables de certaines entités SAML, mais ceci ne leur donne aucun droit supplémentaires
  • Charles, Daniel et Ema sont les responsables d'une ou plusieurs entités SAML, il n'ont les droits en lecture et écriture que sur ces entités

5. Espace de gestion des entités SAML

Il s'agit de l'espace “central” du guichet à partir duquel un utilisateur authentifié peut notamment :

  • Créer un nouveau fournisseur d'identités et/ou fournisseur de services ;
  • Visualiser la liste des entités SAML pour lesquelles il est autorisé, c'est-à-dire :
    • s'il est responsable fédération d'un organisme : l'ensemble des entités SAML rattachées à son organisme ;
    • s'il est responsable entité : les entités pour lesquelles il est déclaré comme responsable sur le guichet.
  • Accéder aux principales opérations de gestion d'une entité SAML : consultation / édition / suppression d'une entité et le cas échéant modération des demandes de changement pour cette entité ;
  • Accéder aux informations de son profil utilisateur ;
  • Accéder aux descriptions des fédérations, attributs et catégories de service.

Le schéma ci-dessous présente une vue d'ensemble des fonctionnalités disponibles :

6. Accès aux informations du profil utilisateur

Un utilisateur authentifié du guichet peut accéder aux informations de son profil utilisateur via le bouton du bandeau supérieur déjà utilisé pour la connexion, en cliquant sur “Mon Profil” comme illustré ci-dessous :

La page de profil utilisateur affichée est structurée en 2 blocs distincts. Le 1er bloc présente les informations personnelles de l'utilisateur, en particulier :

  • Les informations liées à son identité - nom + identifiant (EPPN) + adresse email - fournies par son fournisseur d'identité ;
  • Son ou ses rôles utilisateurs sur le guichet (responsable d'entité, responsable d'organisme, etc.) ;
  • Son organisme de rattachement - tel que déduit de son fournisseur d'identité - et les responsables fédération associés ;
  • Des informations sur le fournisseur d'identité utilisé pour la connexion (identifiant SAML et méthode d'authentification).

Le 2nd bloc présente les éléments dont l'utilisateur authentifié est identifié comme responsable sur le guichet. Un exemple ci-dessous pour un responsable d'entités :

7. Déclarer une nouvelle entité SAML

  • Un utilisateur d'un organisme se connecte au guichet via son IDP d'établissement ou en utilisant un compte CRU ( voir §3.2 ci-dessus).
  • Après authentification, depuis l'espace de gestion des entités SAML, il clique sur Ajouter un fournisseur de service ou Ajouter un fournisseur d'identité selon le type d'entité SAML qu'il souhaite déclarer.
  • Il accède alors aux différents onglets du formulaire de création :
    • Pour un Fournisseur d'identité:
    • Pour un Fournisseur de services :
  • Il renseigne a minima les informations obligatoires pour l'entité dans les différents onglets. Ci-dessous une description synthétique des différent onglets :
A noter pour l'onglet “Fédérations” :

Lors de la création initiale d'une entité SAML, l'utilisateur peut :

  1. Soit ne rien renseigner et voir plus tard (une fois l'entité créée) l'enregistrement dans une des fédérations disponibles ;
  2. Soit enregistrer l'entité SAML directement en fédération de test. Il n'est dans ce cas pas nécessaire de rattacher l'entité à un organisme ;
  3. Soit demander le rattachement de l'entité à un organisme (en le sélectionnant dans la liste) en vue d'un enregistrement ultérieur en fédération de production (cf. §8).
Onglet Concerne Description
Présentation IDP et SP - Déclaration des infos générales sur l'entité SAML : nom, description, logo, etc.
Fédérations IDP et SP - Demande de rattachement de l'entité à un organisme
- Enregistrement de l'entité dans une ou plusieurs fédérations
Contacts IDP et SP - Déclaration des personnes autorisées à gérer cette entité sur le guichet (resp. entité)
- Déclaration d'un point de contact pour les problèmes techniques
Attributs demandés SP uniquement - Déclaration des attributs utilisateurs requis par le SP
Informations techniques IDP et SP - Déclaration des infos techniques sur l'entité : entityID, endpoints SAML, certificats, etc.
Conformité IDP et SP - Déclaration de conformité de son entité : SIRTFI, Code of Conduct eduGAIN, Research and Scholarship, Identifiant Etudiant Européen (ESI)
Soumission IDP et SP - Soumission du formulaire
- Visualisation de l'historique des modifications de l'entité
  • Une fois l'ensemble des informations obligatoires renseignées pour l'entité, l'utilisateur peut alors soumettre le formulaire (onglet “Soumission”).
  • Dans le cas où l'entité SAML a été rattachée à un organisme à l'étape précédente (cas 3), une demande de rattachement (notification mail) est transmise aux responsables fédération de l'organisme. Tant que cette demande n'est pas validée, l'entité SAML apparaît avec un statut en attente de validation dans la liste des entités SAML, comme illustrée ci-dessous :

  • Le responsable fédération de l'organisme valide la demande de rattachement (cf. § 9.2)
  • Les responsables de l'entité reçoivent alors une notification mail les informant que le rattachement a été accepté :

  • Un des responsables entité peut maintenant demander l'enregistrement de cette entité dans une fédération de production (cf. §8) :
    • Soit en accédant directement à la page d'édition de l'entité depuis le lien fourni dans le mail de notification ;
    • Soit depuis l'espace de gestion des entités SAML en cliquant sur le bouton d'édition de l'entité.

8. Enregistrer une entité SAML dans une fédération de production

L'enregistrement d'une entité SAML dans une fédération de production requiert au préalable un rattachement validé à un organisme (cf. §7).
  • Un responsable entité se connecte au guichet et accède à l'espace de gestion des entités SAML.
  • Pour l'entité considérée, il s'assure d'abord qu'elle n'est plus dans le statut en attente de validation (le sablier n'est plus affiché) et qu'elle dispose bien d'un rattachement validé à un organisme. Il clique ensuite sur le bouton d'édition pour accéder à la page de modification de l'entité :

  • Depuis l'onglet “Fédérations”, les fédérations de production (nécessitant un rattachement validé) sont désormais visibles (dans notre exemple ci-dessous la Fédération Éducation-Recherche et eduGAIN)

  • Si l'entité SAML satisfait aux conditions de la fédération de production cible souhaitée, le responsable entité peut alors demander son enregistrement en activant le bouton poussoir associé puis en confirmant son choix :

  • L'enregistrement ne sera en revanche pas possible si des conditions ne sont pas satisfaites. Dans ce cas la mention “enregistrement impossible ” est affichée avec le détails des prérequis manquants (lors du survol de l'icone point d'interrogation) en face de la fédération concernée, comme illustrée dans l'exemple ci-dessous :

Dans le cas où l'enregistrement dans une fédération de production n'est pas possible pour cause de pré-requis manquants, le responsable entité devra d'abord effectuer les corrections nécessaires indiquées puis les soumettre afin de pouvoir débloquer l'enregistrement dans la fédération concernée.
  • Une fois la demande d'enregistrement effectuée, le responsable entité soumet le formulaire. Une notification mail est alors transmise aux responsables fédération de l'organisme pour valider l'enregistrement dans la fédération souscrite. Tant que cette demande n'est pas validée, l'entité SAML apparaît avec un statut en attente de validation dans la liste des entités SAML, comme illustrée ci-dessous :

  • Le responsable fédération de l'organisme valide la demande d'enregistrement (cf. § 9.3)
  • Les responsables de l'entité reçoivent alors une notification mail les informant que la demande d'enregistrement a été acceptée :

9. Opérations de modération

Les opérations de modération décrites ci-dessous sont uniquement accessibles des responsables fédération des organismes.

9.1 Accès à la page de modération d'une entité SAML

Un responsable fédération d'un organisme peut accéder à la page de modération d'une entité SAML de 2 façons différentes:

  1. Accès direct, en cliquant sur le lien fourni dans le mail de notification reçu (exemple ci-dessous):
  2. Accès depuis la liste des entités SAML, en cliquant sur le bouton de modération :

9.2 Validation du rattachement à un organisme

  • Le responsable fédération de l'organisme accède à la page de modération de l'entité SAML concernée (cf. § 9.1)
  • Il accepte ou refuse le rattachement à l'organisme en activant ou non le bouton poussoir, apporte des précisions complémentaires dans le champ prévu à cet effet et soumet le formulaire, comme illustré ci-dessous :

  • A la soumission du formulaire, une notification est alors transmise aux responsables de l'entité pour les informer de la validation ou du refus de la demande de rattachement

9.3 Validation de l'enregistrement dans une fédération de production

Séquence d'actions identique à celle d'une validation de rattachement (voir § 9.2)

Ci-dessous la page de modération d'une demande d'enregistrement dans une fédération de production :

10. Utilisation des informations de contact

L'utilisation du guichet requiert de l'utilisateur d'un organisme la fourniture d'un certain nombre d'informations de contact.
Le tableau suivant dresse une synthèse des informations de contact demandées et l'utilisation qui en est faite.

Information de contact Renseignée par l'utilisateur dans Utilisation
Adresse email
Responsables Entité
Guichet > Formulaire IdP et SP > Onglet Contacts - Identification et contrôle d'accès au sein du guichet
- Besoins de communication de l'opérateur de fédération (Renater) vers les responsables Entité
Adresse email
Contact technique Entité
Guichet > Formulaire IdP et SP > Onglet Contacts - Publication dans les métadonnées de la fédération
(Point de contact pour les problèmes techniques liés à cette entité)
Adresse email
Contact SIRTFI Entité
Guichet > Formulaire IdP et SP > Onglet Conformité - Publication dans les métadonnées de la fédération
(Point de contact en cas d'incident de sécurité impliquant cette entité)
Adresse email
Contacts fédération Organisme
- PASS (org. membre)
ou
- Charte fédération partenaire (org. partenaire)
- Identification et contrôle d'accès au sein du guichet
- Besoins de communication de l'opérateur de fédération (Renater) vers les responsables fédération de l'Organisme

11. FAQ

La FAQ du Guichet est disponible sur cette page.