Ce document décrit l'ensemble des changements concernant l'infrastructure de gestion des fédérations du GIP RENATER, consécutifs à la mise en production de la version 3.3 de son interface web, le guichet de la fédération. Les principaux changements pertinents pour l'utilisateur sont détaillés ci-dessous.

Les domaines de qualification des attributs (scope, en anglais) permettent d'assurer l'unicité des valeurs de certains attributs dans un contexte distribué. Cette propriété est très utilisée notamment pour des identifiants utilisateurs, comme par exemple l'attribut eduPersonPrincipalName (ePPN).

Actuellement, l'administrateur d'un fournisseur d'identité déclare lui-même, via le guichet, l'ensemble des domaines légitimes qui lui sont associés. Ce fonctionnement présente un risque de sécurité - et notamment d'usurpation d'identité - dans la mesure ou rien n'empêche aujourd'hui l'administrateur d'un fournisseur d'identité de se déclarer légitime pour un domaine tiers (ex : autre-universite.fr) et pouvoir ainsi endosser l'identité d'un autre utilisateur (ex: president@autre-universite.fr) auprès de n'importe quel fournisseur de service enregistré dans la même fédération. Une telle manipulation laisserait bien sûr des traces, et constituerait une violation flagrante de la charte fédération, mais reste techniquement possible à l'heure actuelle.

Un mécanisme de contrôle a donc été implémenté pour limiter ce risque, sur le même modèle que les autorités de certification qui valident les certificats électroniques. Au sein de la Fédération Education-Recherche, un fournisseur d'identité ne pourra dorénavant utiliser comme valeur qu'un domaine autorisé pour son établissement, et dont il pourra légitimement revendiquer le contrôle, typiquement un enregistrement WHOIS. Cette liste a été initialisée, établissement par établissement, sur la base de la situation actuelle, et toute évolution devra se faire par une demande au support des responsables fédération de chaque établissement.

Il est maintenant possible de déclarer la conformité d'une entité SAML aux dernières versions des spécifications SIRTFI et Code of Conduct.

En plus de la liste des entités enregistrées dans une fédération, il est maintenant possible d'obtenir des statistiques sur la conformité aux différentes spécifications (SIRTFI, Code of Conduct, etc.) d'une part, et sur les demandes d'attributs d'autre part.

Ces statistiques sont notamment destinées à donner une visibilité sur l'usage des différents attributs au sein de nos fédérations, afin d'aider à la prise de décision pour les administrateurs de fournisseurs de service. Pour autant, elles n'indiquent ni la possibilité de les produire - ni de les fournir - de la part des fournisseurs d'identité (pour rappel, pour maximaliser l'interopérabilité, il est largement préférable de se limiter à des sous-ensembles identifiés et normés d'attributs, comme par exemple celui de la spécification Research & Scolarship).

Depuis la page de visualisation des informations d'une entité SAML, il est maintenant possible de visualiser les métadonnées individuelles d'une entité, telles qu'elles seront incluses dans les métadonnées des différentes fédérations dans lesquelles cette entité est enregistrée.

Toute saisie d'une URL (logo distant, point d'accès, politique de confidentialité, etc.) sur le guichet s'accompagne maintenant d'une vérification automatique de l'accessibilité de cette URL. Cette vérification n'est pas bloquante (il existe des cas légitimes de déclaration d'une entité SAML privée) et sert surtout à limiter les erreurs de saisie. Elle se manifeste donc par des messages d'avertissement, affichés dans une couleur différente des messages d'erreur.

Cette modification de comportement s'accompagne également de la possibilité d'indiquer manuellement les dimensions du logo d'un fournisseur de service qui ne serait pas accessible, alors que ceci entrainait un échec de déclaration dans la version précédente du guichet.

Les pop-ups de confirmation de certaines opérations, comme par exemple l'enregistrement dans une fédération, ou une déclaration de conformité, utilisent maintenant le formatage HTML pour plus de lisibilité.

Pour les responsables d'établissement, il y a maintenant une notification distincte pour chaque opération de validation en attente, avec un lien direct vers l'entité à modérer, au lieu d'une notification générique “vous avez X entités qui attendent une validation de votre part”. En contrepartie, la colonne statut a disparu de la liste des entités SAML, puisqu'elle était redondante avec une information déjà présente ailleurs: les rattachements et les enregistrements en attente de validation étant déjà signalés.

Les valeurs des champs multivalués (attributs demandés, points d'accès SAML, certificats, …) sont maintenant conservées lorsque la soumission d'un formulaire échoue, ce qui évite d'avoir à les ressaisir.

Les attributs de la catégorie 'non-standard' étaient jusqu'ici inutilisables, sauf pour les fournisseurs de service qui les demandaient déjà. Ils sont maintenant utilisables, sauf pour les entités enregistrées dans la Fédération Education/Recherche.

Les filtres d'attributs, déclarés obsolètes lors de la précédente version du guichet, ont maintenant été supprimés.