Click here for the english version
Ce document décrit l'ensemble des changements concernant l'infrastructure de gestion des fédérations du GIP RENATER, consécutifs à la mise en production de la version 3.2 de son interface web, le guichet de la fédération. Les principaux changements pertinents pour l'utilisateur sont détaillés ci-dessous.
Certaines données (identifiant SAML, liste des attributs demandés, domaines de qualification des attributs) étaient qualifiées de sensibles, et toute modification nécessitait la validation du responsable fédération de l'organisme de rattachement. Il s'avère que ce mécanisme de validation humaine n'empêche ni les erreurs, ni les abus, mais s'avère complexe à maintenir, entrainant de multiples bugs.
Ce mécanisme n'existe plus. Pour limiter les erreurs, l'identifiant SAML (entityID) est maintenant immutable, et notre processus de supervision métier nous permet de repérer les utilisations contraires aux conditions d'usage spécifiques de la Fédération Education/Recherche a posterori.
Il est maintenant possible de définir séparément des certificats à usage de chiffrement et des certificats à usage de signature, avec des cardinalités minimales et maximales dépendantes du type d'entité :
Tout changement entraine le début d'un processus de transition, pendant laquelle des notifications sont envoyées pour signaler les changements à apporter à la configuration de l'entité au fur et à mesure de la propagation des changements. Et les anciens certificats sont automatiquement supprimés du guichet à la fin de cette transition.
Il est maintenant possible de spécifier qu'une entité SAML est conforme à la spécification ESI.
Il est maintenant possible de déclarer des points d'accès SAML de type urn:oasis:names:tc:SAML:2.0:bindings:PAOS, afin d'utiliser le profil ECP.
Les modifications notables (demande d'enregistrement dans une fédération, de rattachement à un organisme, …) sont maintenant rattachées à un événement (création, modification, validation) plutôt que de constituer des événements indépendants.
Les entités présentes à la fois dans eduGAIN (via un autre opérateur de fédération que RENATER) et dans la Fédération Éducation-Recherche sont supprimées des métadonnées eduGAIN. Cela signifie que c'est la définition de ces entités dans le Guichet de la Fédération qui fait office de référence pour les IdPs français.
Les entités supportant la compression des transferts HTTP, comme l'IdP et le SP Shibboleth, recevront une version compressée des métadonnées. Cette modification est transparente, et aura comme seul effet de diminuer la durée et le volume du transfert.
Un nouveau point de distribution des métadonnées est déployé en tant de pilote. Ce nouveau point de distribution utilise le protocole MDQ, et est disponible à l'adresse https://mdq.federation.renater.fr. Les fédérations disponibles sont :
Le service est destiné en priorité à l'usage interne de RENATER, et ne doit pas être considéré comme faisant partie du service “Fédération d'Identité”. Il est cependant mis à disposition de la communauté, avec les réserves suivantes :
Plus d'informations sur le protocole MDQ peuvent être trouvées sur les liens suivants :
Les filtres d'attributs statiques produits à partir du données du guichet sont maintenant obsolètes, et seront supprimés lors de la prochaine mise à jour. Le filtrage dynamique des attributs à partir des métadonnées, disponible depuis la version 2.4.0 de l'IdP, permet d'obtenir le même résultat sans dépendre d'une ressource externe.
Pour plus d'information, voire notre fiche technique.
