Click here for the english version

Fonctionnement du guichet V3

1. Description du service

Le guichet de la fédération est un service en ligne, permettant aux contacts fédération de la communauté Éducation-Recherche de gérer leurs entités SAML (fournisseurs d'identité et de service), et de les enregistrer dans une ou plusieurs fédérations gérées par RENATER.
Il permet également un accès non authentifié aux informations publiques concernant ces entités.

Les informations techniques collectées au travers du guichet sont ensuite publiées dans les méta-données des fédérations souscrites.

2. Fédérations disponibles sur le guichet

Le guichet gère l'enregistrement à plusieurs types de fédérations :

  • Une fédération de test, en accès libre ;
  • Différentes fédérations de production (Fédération Éducation-Recherche, inter-fédération eduGAIN, fédérations locales) qui demandent de la part de l'organisme une souscription préalable du service Fédération d'identités auprès de RENATER.

L'enregistrement d'une entité SAML dans l'une ou l'autre de ces fédérations via le guichet est décrite plus en détail aux § 6 et 7 ci-après. ici

2.1 Fédération de test

Le guichet propose une fédération de test, en accès libre, afin de tester rapidement la configuration et le bon fonctionnement de son fournisseur d'identité (IDP) ou de service (SP).
Tout utilisateur authentifié (voir §3.2 ci-dessous) peut enregistrer un IDP ou SP dans la fédération de test, aucune démarche administrative préalable auprès de RENATER n'est requise dans ce cas

2.2 Fédérations de production

2.2.1 Pré-requis

Les organismes souhaitant déclarer une ou plusieurs entités SAML dans une fédération de production (Fédération Éducation-Recherche, eduGain ou Fédération locale) doivent au préalable souscrire au service fédération d'identités auprès de RENATER.

Le type d'entité SAML pouvant être enregistrée dans une fédération de production est conditionné par la nature de l'établissement (membre ou partenaire) :
  • Un organisme membre peut indifféremment déclarer des IDP et/ou SP ;
  • Un organisme partenaire est quant à lui limité à la déclaration de SP uniquement.

2.2.2 Fédération Éducation-Recherche

Le guichet permet d'inscrire une entité SAML dans la Fédération Éducation-Recherche.
La Fédération Éducation-Recherche est un service opéré par le GIP RENATER à destination de la communauté éducation-recherche française. Elle offre un cadre d’interopérabilité et de confiance permettant la mise en relation et l’échange de données entre fournisseurs d'identités et de services appartenant à des organismes participants distincts.

2.2.3 Inter-fédération eduGAIN

Le guichet permet d'inscrire une entité SAML dans l'inter-fédération eduGAiN.
L'inter-fédération eduGAIN est le service d'interconnexion des fédérations nationales opéré par GEANT, le réseau européen de la recherche.

L'enregistrement d'une entité SAML dans eduGAIN requiert que cette dernière ait au préalable été enregistrée dans la Fédération Éducation-Recherche.

2.2.4 Fédération locale

Le guichet offre la possibilité de gérer une fédération locale à un établissement, hébergée par RENATER.
Une fédération locale permet à un établissement d'enregistrer des entités SAML dans sa propre fédération avec le même niveau de confiance que la Fédération Éducation-Recherche et de publier le fichier de méta-données associé à cette fédération locale.

3. Accès au guichet

La page d'accueil du guichet est disponible à l'adresse suivante : https://registry.federation.renater.fr/.

Elle offre à l'utilisateur la possibilité de :
- Consulter certaines informations publiques en mode non authentifié ;
- D'accéder, après authentification, à l'espace de gestion des entités SAML.

3.1 Accès aux informations publiques du guichet (non authentifié)

Certaines informations publiques du guichet peuvent être consultées en mode non authentifié. Elles sont accessibles via les rubriques du menu supérieur de la page d'accueil (encadré violet) :

Sont consultables notamment :

  • Fédérations : description des fédérations publiques disponibles sur le guichet (page web de présentation de la fédération, liste des IdPs/SPs enregistrés, fichiers de métadonnées associés) ;
  • Attributs : description des attributs en vigueur dans un contexte de fédération d'identités ;
  • Catégories de service : description des catégories existantes de SP (types et audiences).

3.2 Accès à l'espace de gestion des entités SAML (authentification requise)

L'accès à l'espace de gestion des entités SAML requiert une authentification préalable (via le bouton de connexion du bandeau supérieur).

Le processus d’authentification du guichet est basé sur le mécanisme de fédérations d’identités en vigueur.
L’utilisateur peut ainsi s’authentifier via l’IdP de son établissement d’origine (si ce dernier dispose d’un IdP en production) ou à défaut en utilisant un compte CRU. Dans ce dernier cas, l’utilisateur devra d’abord créer son compte CRU via le service de gestion des comptes CRU avant de sélectionner « Comptes CRU » dans l'écran de sélection de l'établissement lors du processus de connexion (cf. capture ci-dessous)

4. Autorisations utilisateur

Les autorisations d'un utilisateur sur le guichet sont déduites à partir son adresse mail (renvoyée par son IDP de connexion) et l'association de cette dernière à un des deux rôles décrits ci-après.

4.1 Responsable d'une entité SAML

Le responsable d’une entité SAML - appelé plus succinctement “responsable entité” - est la personne côté organisme en charge de gérer cette entité sur le guichet et qui est renseigné à la création de cette dernière.

Un responsable entité est obligatoirement renseigné (nom + adresse mail) à la création d'une entité SAML sur le guichet (il peut y avoir deux responsables entité au maximum).
A noter que le guichet renseigne par défaut le premier responsable entité avec les informations de l’utilisateur authentifié à l’origine de la création (sur la base des informations renvoyées par son IdP de connexion).

Sur le guichet, le responsable entité peut effectuer les actions suivantes :

  • Visualiser toutes les entités SAML pour lesquelles il est déclaré comme responsable entité ;
  • Créer/modifier/supprimer une entité SAML ;
  • Rattacher une entité SAML à un organisme ;
  • Enregistrer une entité SAML dans une ou plusieurs fédérations proposées sur le guichet.

Certaines des actions du responsable entité sont sujettes à modération/validation par le responsable fédération de son organisme, en particulier :

  • Déclaration d’une entité SAML avec rattachement à un organisme ;
  • Enregistrement d’une entité SAML dans une fédération de production ;
  • Modification d'une donnée sensible (entityID, scope, attributs demandés) d'une entité enregistrée dans une fédération de production.

4.2 Responsable fédération d'un organisme

Le responsable fédération d'un organisme est :

  • Pour les organismes membres : synchronisé depuis Pass.
  • Pour les organismes partenaires : le contact fédération renseigné dans la charte Fédération Partenaire (document à compléter pour la souscription au service fédération d’identités).
Quelle que soit sa nature (membre ou partenaire), un organisme doit obligatoirement renseigner deux contacts fédération lors de la souscription au service fédération d’identités auprès de Renater.

Sur le guichet, le responsable fédération d'un organisme peut effectuer l'ensemble des actions associées au rôle “responsable entité” présenté ci-avant. Il peut en outre :

  • Visualiser de manière synthétique l'ensemble des entités SAML rattachées à son organisme ;
  • Valider ou refuser certaines demandes du ou des responsable(s) entité de son organisme.

4.3 Schéma

Un bon schéma valant un long discours, voici un hypothétique établissement auquel sont rattachés cinq entités SAML, ainsi que leurs responsables respectifs:

  • Alice et Bob sont les responsables fédération de l'organisme, ils ont les droits en lecture et écriture sur l'ensemble des entités SAML rattachées à cet organisme
  • Alice et Bob sont également les responsables de certaines entités SAML, mais ceci ne leur donne aucun droit supplémentaires
  • Charles, Daniel et Ema sont les responsables d'une ou plusieurs entités SAML, il n'ont les droits en lecture et écriture que sur ces entités

5. Espace de gestion des entités SAML

Il s'agit de la page principale du guichet à partir de laquelle un utilisateur authentifié peut notamment :

  • Créer un nouveau fournisseur d'identités et/ou fournisseur de services ;
  • Visualiser les entités SAML pour lesquelles il est autorisé, c'est-à-dire :
    • s'il est responsable fédération d'un organisme : l'ensemble des entités SAML rattachées à son organisme ;
    • s'il est responsable entité : les entités pour lesquelles il est déclaré comme responsable sur le guichet.
  • Accéder aux principales opérations de gestion d'une entité SAML : mise à jour des infos d'une entité, rattachement à un organisme, enregistrement dans une ou plusieurs fédérations, modération des demandes de changement (validation ou rejet), suppression, etc. ;
  • Accéder aux descriptions des fédérations, attributs et catégories de service.

6. Déclarer une nouvelle entité SAML

  • Un utilisateur d'un organisme se connecte au guichet via son IDP d'établissement ou en utilisant un compte CRU (voir §3.2 ci-dessus).
  • Après authentification, depuis l'espace de gestion des entités SAML, il clique sur Créer un nouveau fournisseur de service ou Créer un nouveau fournisseur d'identité selon le type d'entité SAML qu'il souhaite déclarer.
  • Il accède alors aux différents onglets du formulaire de création :
    • Pour un Fournisseur d'identité:
    • Pour un Fournisseur de services :
  • Il renseigne a minima les informations obligatoires pour l'entité dans les différents onglets. Ci-dessous une description synthétique des différent onglets :
Onglet Concerne Description
Présentation IDP et SP - Déclaration des infos générales sur l'entité SAML (Nom, description, logo, etc.)
Fédérations DP et SP - Demande de rattachement de l'entité à un organisme
- Enregistrement de l'entité dans une ou plusieurs fédérations
Contacts IDP et SP - Déclaration des personnes autorisées à gérer cette entité sur le guichet (resp. entité)
- Déclaration d'un point de contact pour les problèmes techniques
Attributs demandés SP uniquement - Déclaration des attributs utilisateurs requis par le SP
Informations techniques IDP et SP - Déclaration des infos techniques sur l'entité (entityID, endpoints SAML, certificats, etc.)
Conformité IDP et SP - Déclaration de conformité de son entité (SIRTFI, Code of Conduct eduGAIN, Research and Scholarship)
Soumission IDP et SP - Soumission du formulaire
- Visualisation de l'historique des modifications de l'entité
A noter pour l'onglet “Fédérations” :

Lors de la création initiale d'une entité SAML, l'utilisateur peut :

  1. Soit ne rien renseigner et voir plus tard (une fois l'entité créée) l'enregistrement dans une des fédérations disponibles ;
  2. Soit enregistrer l'entité SAML directement en fédération de test. Il n'est dans ce cas pas nécessaire de rattacher l'entité à un organisme ;
  3. Soit demander le rattachement de l'entité à un organisme (en le sélectionnant dans la liste) en vue d'un enregistrement ultérieur en fédération de production (cf. §7).
  • Une fois l'ensemble des informations obligatoires renseignées pour l'entité, l'utilisateur peut alors soumettre le formulaire (onglet “Soumission”).
  • Dans le cas où l'entité SAML a été rattachée à un organisme à l'étape précédente (cas 3), une demande de rattachement (notification mail) est transmise aux responsables fédération de l'organisme. Tant que cette demande n'est pas validée, l'entité SAML apparaît avec un statut en attente de validation dans la liste des entités SAML, comme illustrée ci-dessous :

  • Le responsable fédération de l'organisme valide la demande de rattachement (cf. § 9.2)
  • Les responsables de l'entité reçoivent alors une notification mail les informant que le rattachement a été accepté :

  • Un des responsables entité peut maintenant demander l'enregistrement de cette entité dans une fédération de production (cf. §7) :
    • Soit en accédant directement à la page d'édition de l'entité depuis le lien fourni dans le mail de notification ;
    • Soit depuis l'espace de gestion des entités SAML en cliquant sur le bouton d'édition de l'entité.

7. Enregistrer une entité SAML dans une fédération de production

L'enregistrement d'une entité SAML dans une fédération de production requiert au préalable un rattachement validé à un organisme (cf. §6).
  • Un responsable entité se connecte au guichet et accède à l'espace de gestion des entités SAML.
  • Pour l'entité considérée, il s'assure d'abord qu'elle n'est plus dans le statut en attente de validation (le sablier n'est plus affiché) et qu'elle dispose bien d'un rattachement validé à un organisme. Il clique ensuite sur le bouton d'édition pour accéder à la page de modification de l'entité :

  • Depuis l'onglet “Fédérations”, les fédérations de production (nécessitant un rattachement validé) sont désormais visibles (dans notre exemple ci-dessous la Fédération Éducation-Recherche et eduGAIN)

  • Si l'entité SAML satisfait aux conditions de la fédération de production cible souhaitée, le responsable entité peut alors demander son enregistrement en activant le bouton poussoir associé puis en confirmant son choix :

  • L'enregistrement ne sera en revanche pas possible si des conditions ne sont pas satisfaites. Dans ce cas la mention “enregistrement impossible ” est affichée avec le détails des prérequis manquants (lors du survol de l'icone point d'interrogation) en face de la fédération concernée, comme illustrée dans l'exemple ci-dessous :

Dans le cas où l'enregistrement dans une fédération de production n'est pas possible pour cause de pré-requis manquants, le responsable entité devra d'abord effectuer les corrections nécessaires indiquées puis les soumettre afin de pouvoir débloquer l'enregistrement dans la fédération concernée.
  • Une fois la demande d'enregistrement effectuée, le responsable entité soumet le formulaire. Une notification mail est alors transmise aux responsables fédération de l'organisme pour valider l'enregistrement dans la fédération souscrite. Tant que cette demande n'est pas validée, l'entité SAML apparaît avec un statut en attente de validation dans la liste des entités SAML, comme illustrée ci-dessous :

  • Le responsable fédération de l'organisme valide la demande d'enregistrement (cf. § 9.3)
  • Les responsables de l'entité reçoivent alors une notification mail les informant que la demande d'enregistrement a été acceptée :

8. Mettre à jour les informations d'une entité SAML

Pour une entité SAML enregistrée dans une fédération de production, la mise à jour d'une information dite “sensible” (entityID, domaine pour un IdP ou attributs demandés pour un SP) est soumise à validation du responsable fédération de l'organisme concerné.
  • Un responsable entité se connecte au guichet et accède à l'espace de gestion des entités SAML.
  • Pour l'entité à mettre à jour, il s'assure d'abord qu'elle n'est pas dans un statut en attente de validation (i.e. pas de sablier affiché ). Si c'est bien le cas, il accède à la page de modification de l'entité concernée en cliquant sur le bouton d'édition :

  • Il effectue les modifications nécessaires et soumet la demande de mise à jour. A noter qu'un commentaire résumant les modifications effectuées est obligatoirement requis avant la soumission du formulaire :

  • Dans le cas où l'entité SAML est enregistrée dans une fédération de production et que la mise à jour concerne une donnée sensible (entityID, domaine pour un IdP ou attributs demandés pour un SP), la modification n'est pas prise en compte immédiatement par le guichet. Une demande de validation (notification mail) est ainsi transmise aux contacts fédération de l'organisme.Tant que la demande n'est pas validée, l'entité SAML apparaît avec un statut en attente de validation dans la liste des entités SAML, comme illustrée ci-dessous :

  • Le responsable fédération de l'organisme valide la demande de modification de donnée sensible (cf. § 9.4)
  • Les responsables de l'entité reçoivent alors une notification mail les informant que la modification de donnée sensible a été acceptée :

9. Opérations de modération

Les opérations de modération décrites ci-dessous sont uniquement accessibles des responsables fédération des organismes.

9.1 Accès à la page de modération d'une entité SAML

Un responsable fédération d'un organisme peut accéder à la page de modération d'une entité SAML de 2 façons différentes:

  1. Accès direct, en cliquant sur le lien fourni dans le mail de notification reçu (exemple ci-dessous):
  2. Accès depuis la liste des entités SAML, en cliquant sur le bouton de modération :

9.2 Validation du rattachement à un organisme

  • Le responsable fédération de l'organisme accède à la page de modération de l'entité SAML concernée (cf. § 9.1)
  • Il accepte ou refuse le rattachement à l'organisme en activant ou non le bouton poussoir, apporte des précisions complémentaires dans le champ prévu à cet effet et soumet le formulaire, comme illustré ci-dessous :

  • A la soumission du formulaire, une notification est alors transmise aux responsables de l'entité pour les informer de la validation ou du refus de la demande de rattachement

9.3 Validation de l'enregistrement dans une fédération de production

Séquence d'actions identique à celle d'une validation de rattachement (voir § 9.2)

Ci-dessous la page de modération d'une demande d'enregistrement dans une fédération de production :

9.4 Validation d'une modification de données sensibles

Séquence d'actions identique à celle d'une validation de rattachement (voir § 9.2)

Ci-dessous la page de modération d'une demande de modification de données sensibles :

10. Utilisation des informations de contact

L'utilisation du guichet requiert de l'utilisateur d'un organisme la fourniture d'un certain nombre d'informations de contact.
Le tableau suivant dresse une synthèse des informations de contact demandées et l'utilisation qui en est faite.

Information de contact Renseignée par l'utilisateur dans Utilisation
Adresse email
Responsables Entité
Guichet > Formulaire IdP et SP > Onglet Contacts - Identification et contrôle d'accès au sein du guichet
- Besoins de communication de l'opérateur de fédération (Renater) vers les responsables Entité
Adresse email
Contact technique Entité
Guichet > Formulaire IdP et SP > Onglet Contacts - Publication dans les métadonnées de la fédération
(Point de contact pour les problèmes techniques liés à cette entité)
Adresse email
Contact SIRTFI Entité
Guichet > Formulaire IdP et SP > Onglet Conformité - Publication dans les métadonnées de la fédération
(Point de contact en cas d'incident de sécurité impliquant cette entité)
Adresse email
Contacts fédération Organisme
- PASS (org. membre)
ou
- Charte fédération partenaire (org. partenaire)
- Identification et contrôle d'accès au sein du guichet
- Besoins de communication de l'opérateur de fédération (Renater) vers les responsables fédération de l'Organisme

11. FAQ

La FAQ du Guichet est disponible sur cette page.