Supervision métier de la Fédération Éducation-Recherche
Description
La supervision métier développée par RENATER permet d'identifier les problèmes présents parmi les entités de la Fédération Éducation-Recherche.
Elle fait suite aux annonces faites lors des journées fédérations 2018 et des JRES 2019, concernant l'amélioration de la qualité au sein de la Fédération Éducation-Recherche.
Le objectifs sont :
- Améliorer l’interopérabilté des services
- Nettoyer les données obsolètes
- Améliorer la sécurité
Dans cet optique, un outil de supervision métier des entités de la Fédération Éducation-Recherche a été mis en place.
Contrôles
Les contrôles effectués peuvent être passifs ou actifs. Un contrôle passif va se baser les informations déclarées dans les meta-données. Un contrôle actif, va effectuer des requêtes vers les entités. Vous pouvez identifier les requêtes émanant de cet outil, grâce à l'IP source et au User-Agent utilisé :
- L'IP source utilisée sera 195.98.237.26
- User-Agent : “Federation Identite RENATER”.
Les contrôles sont exécutés une fois par jour pour les entités inscrites dans la Fédération Éducation-Recherche.
Les entités inscrites dans la fédération de test, sont susceptibles de recevoir des contrôles plus fréquents, en cas de mise au point de nouveaux contrôles.
Les contrôles actuellement activés sont les suivants :
Code | Cible (SP/IDP) | Description |
---|---|---|
DISPO-SAML-SP-0001 | SP | Contrôle de l'URL de service déclarée par le SP (1) |
DISPO-SAML-IDP-0002 | IDP | Contrôle de la joignabilité d’un IDP (1) |
MAINT-SAML-SP-0003 | SP | Vérification d'absence d'index en doublon sur les endpoints SAML |
SECU-SAML-0004 | SP et IDP | Non expiration des certificats SAML |
SECU-SAML-0005 | SP et IDP | Non inscription dans la fédération de test |
DISPO-SAML-0006 | SP et IDP | IP publique |
(1) Il s'agit de contrôler la connexion HTTP :
- IP publique
- Utilisation de TLS
- Certificat TLS valide
- Code HTTP < 400
Remédiation
Lorsque ces contrôles détectent un problème, nous sollicitons les responsables des entités concernées afin qu'ils prennent en charge la correction de celui-ci. Nous n'intervenons jamais nous-même directement, pour plusieurs raisons.
D'abord, ces problèmes n'ont souvent pas une solution unique et dépourvue d’ambiguïté, et nécessitent une connaissance du contexte que nous n'avons pas. Par exemple, quand une entité est inscrite à la fois dans la fédération de test et la Fédération Education/Recherche, une des deux inscriptions est clairement de trop, mais encore faut-il savoir laquelle.
Ensuite, la plupart de ces problèmes nécessitent une intervention sur la configuration de l'entité, en plus d'une intervention sur la déclaration de celle-ci sur le guichet. Par exemple, désinscrire une entité d'une fédération nécessite également la suppression du chargement des métadonnées de celle-ci.
Enfin, notre Fédération Education/Recherche est une fédération maillée, dont le fonctionnement repose sur l'implication de l'ensemble de ses participants. Nous préférons donc déléguer ces opérations aux responsables d'entité, via une interface web d'administration, qui fournit les fonctionnalités d'authentification et de traçabilité des opérations nécessaires.
Néanmoins, en l'absence de réponse ou de correction des problèmes signalés, nous finissons après plusieurs relances par désinscrire l'entité de la Fédération Education/Recherche, au titre de mesure conservatoire.
L'ensemble de la procédure peut être résumé ainsi:
- jour J: ouverture d'un ticket de suivi dans la file dédiée “Support du service pour la federation - qualité”, avec les responsables d'entité comme destinataires
- J + 15: première relance, via RT
- J + 30: deuxième relance, via RT
- J + 45: troisième relance, par mail direct, avec les responsables d'organisme en copie
- J + 60: désinscription de l'entité
La plupart de ces problèmes sont triviaux à corriger, du moins tant que les accès au guichet de la fédération ne nécessitent pas une correction préalable. Nous sommes cependant à l'écoute de toute difficulté, temporaire ou permanente, il suffit de nous le signaler, et nous donner une visibilité minimale sur les actions de remédiation.
Foire aux questions
Puis-je consulter l'état de mes entités ?
Pas pour l'instant, mais nous souhaitons vous permettre à terme de pouvoir accéder au détail des contrôles effectués sur vos entités.
J'ai une bonne raison de ne pas respecter certaines règles, comment faire ?
Dans ce cas-là, après discussion avec nous, nous pouvons mettre en place des dérogations temporaires pour certains contrôles pour l'entité en question.
Je souhaite échanger avec vous sur ce sujet
Si vous souhaitez réagir :
- d’un point de vue général, ouvrir une discussion, vous pouvez utiliser la liste federation-utilisateurs@listes.renater.fr
- pour un point particulier, merci d’utiliser le canal de support https://assistance.renater.fr
- si vous êtes l’heureux destinataire d’une sollicitation, vous pouvez répondre directement au mail que vous avez reçu