Les Comptes CRU

Cette page décrit le Fournisseur d'identités "Comptes Réseau Universel" (CRU).

  • Il est également décrit dans le poster “Gestion d'identités pour les utilisateurs en marge de la fédération du CRU : le Service d'Authentification du CRU” présenté aux JRES 2007.

Qu'est-ce que le fournisseur d'identités "comptes CRU" et à quoi sert-il ?

Il s'agit d'un fournisseur d'identités “virtuel”. Il permet à n'importe quelle personne de se créer un compte (nommé “compte CRU”) qui peut donner l'accès via Shibboleth à certains fournisseurs de services. Ce fournisseur d'identités est virtuel dans le sens où il n'est pas rattachés à un établissement précis. Il ne fait pas partie de la fédération du CRU.

Un compte CRU est utile à certains fournisseurs de services qui sont dans la situation suivante : une partie de leurs utilisateurs ne sont pas rattachés à un établissement qui est fournisseur d'identités dans la fédération Education-Recherche. Cela peut être des chercheurs étrangers, des partenaires industriels, des personnes rattachées à des établissements qui ne sont pas encore inscrits dans la fédération Education-Recherche. Pour gérer l'accès de ces utilisateurs, soit le fournisseur de services implémente un système d'authentification dédié, soit il utilise un fournisseur d'identités “virtuel” comme les comptes CRU. Cette seconde solution lui évite de faire cohabiter deux systèmes d'accès, un via Shibboleth et un autre avec un système dédié.

Quelles sont les garanties en terme de sécurité et de disponibilité des Comptes CRU ?

Le fournisseur d'identités “Comptes CRU” est un service proposé gratuitement à la communauté enseignement supérieur et recherche française. RENATER ne spécifie pas un niveau de sécurisation de ce service et n‘offre aucune garantie formelle pour la sécurité des comptes hébergés.

Cependant nous pouvons vous apporter les éléments suivants :

- Les briques logicielles utilisées pour assurer ce service (Shibboleth, Tomcat) sont open-source, utilisées par de très nombreuses institutions et réputées fiables et sécurisées. Elles sont systématiquement mises à jour en cas d‘alertes de sécurité.

- RENATER est une organisation d‘expertise pour la communauté enseignement supérieur et la recherche, notamment dans le domaine de la sécurité applicative et réseau. Cette expertise est bien sûr appliquée à la conception et l‘administration des propres service proposés par RENATER, dont les Comptes CRU.

- Le niveau de confiance que l'on peut avoir dans un compte CRU est décrit ci-dessous.

Ce fournisseur d'identités est normalement disponible tout au long de l‘année. Les interruptions du service pour maintenance ou évolution de la plate-forme sont toujours annoncées aux gestionnaires d'applications qui nous ont notifiés l'utilisation de ce service. Elles durent au plus quelques heures sauf incident grave. RENATER ne s'engage pas sur un niveau de disponibilité minimal pour ce service.

Quel est le niveau de confiance que je peux avoir concernant les comptes CRU ?

Le niveau de confiance ou d'assurance est une notion qui concerne le niveau de qualité d'enregistrement d'un profil et le niveau de l'authentification des utilisateurs. Il est admis actuellement l'existence de quatre niveaux de confiance (en anglais connus sous le terme “Level of Assurance” LoA) voir le document du NIST.
En prenant ce document comme référence on peut évaluer le LoA des Comptes CRU à 1. En effet, celui-ci permet uniquement d'assurer qu'un utilisateur ayant créé un compte avait effectivement l'accès à l'adresse email associée au compte lors de sa création. Il faut en effet pouvoir accéder à l'adresse email que l'on déclare lors de la création pour valider le compte.

Quels sont les attributs fournis par un compte CRU ?

Attributs systématiquement fournis :

  1. la langue associée au compte, 'en' pour anglais et 'fr' pour français (attribut urn:mace:dir:attribute-def:preferredLanguage) ;
  2. un identifiant opaque et persistent dépendant du fournisseur de service accédé, le eduPersonTargetedID qualifié aussi de SAML2PersistentID (attribut urn:oid:1.3.6.1.4.1.5923.1.1.1.10)

Attributs complémentaires :

  1. une adresse email (attribut urn:mace:dir:attribute-def:mail) ;
  2. eduPersonPrincipalName (eppn). Attribut opaque, unique de type numérique concaténé à une portée : 'xxxxxx@sac.cru.fr' (attribut urn:mace:dir:attribute-def:eduPersonPrincipalName).
  3. un nom (attribut urn:mace:dir:attribute-def:sn) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
  4. un prénom (attribut urn:mace:dir:attribute-def:givenName) (selon que l'utilisateur l'a renseigné ou non dans son compte CRU) ;
  5. la concaténation prénom/nom (attribut urn:mace:dir:attribute-def:displayName)(selon que l'utilisateur l'a renseigné ou non dans son compte CRU).

Quand vous déclarez les attributs consommés par votre ressource vous devez les signaler soit comme :

  • Obligatoires : Les comptes CRU fourniront alors ces attributs
  • Optionnels : Les comptes CRU ne fourniront pas ces attributs.

Pour connaître le nom de la variable d'environnement associé à ces attributs, consultez le fichier attribute-map.xml de votre fournisseur de services Shibboleth. Chaque attribut est mentionné dans l'attribut XML Name et le nom de la variable d'environnement associé construite à partir de la valeur de l'attribut XML Header auquel est préfixé 'HTTP_', le tout transformé en majuscule et les '-' sont transformés en '_'. Vous pouvez voir les correspondances généralement utilisées sur la page des attributs de la fédération Education-Recherche.

Le fournisseur d'identités des comptes CRU ne fournit pas tous les attributs utilisateurs à ma ressource

Le fournisseur d'identités “Comptes CRU” est configuré pour transmettre les attributs utilisateurs requis aux ressources enregistrées dans la Fédération Education-Recherche. Si votre ressource n'est pas enregistrée dans la Fédération Education-Recherche, vous pouvez nous contacter afin que nous ajoutions votre ressource à nos règles de diffusion d'attributs.

Comment configurer ma brique Shibboleth Service Provider pour que les accès via les comptes CRU soient acceptés ?

Le fournisseur d'identités “comptes CRU” fait partie de la fédération de Test par défaut ; cependant il n'est pas enregistré dans la fédération Education-Recherche. Pour un usage en production, il faut donc ajouter explicitement la confiance dans ce fournisseur d'identités . Pour ce faire :

  • ajouter la ligne suivante dans votre configuration shibboleth2.xml, en-dessous de la ligne déjà existante <MetadataProvider…</> (conservez cette ligne déjà existante si vous souhaitez que votre application continue à être accessible via les fournisseurs d'identités de la fédération) :
<MetadataProvider type="XML" uri="https://cru.renater.fr/idp/profile/Metadata/SAML"                     backingFilePath="/etc/shibboleth/sac-metadata.xml" reloadInterval="7200"/>

* si vous souhaitez utiliser le WAYF des comptes CRU qui propose, en plus des fournisseurs d'identités de la fédération Education-Recherche, le fournisseur d'identités des comptes CRU, suivez les instructions données dans la question suivante ;

Prévenez les administrateurs de la fédération Education-Recherche que votre application s'appuie sur le fournisseur d'identités des comptes CRU. Ainsi vous serez notifié quand des changements sur ce service auront lieu.

Puis-je utiliser le service de découverte (WAYF) comptes CRU pour l'accès à mon application ?

Oui. Les applications acceptants les connexions via les comptes CRU peuvent utiliser ce WAYF. Pour ce faire, vous devez configurer dans le fichier shibboleth2.xml les attributs suivants du nœud SessionInitiator ou SSO :

  • Location = ”/DS”
  • wayfURL = "https://discovery.renater.fr/renater"

Relancez le démon shibd et httpdpour que ces modifications soient prises en compte.

Le WAYF des comptes CRU permet à un utilisateur de s'authentifier auprès d'un établissement enregistré dans la fédération Éducation-Recherche ou avec son compte CRU. Il propose également de se créer un compte CRU au cas où l'utilisateur n'en a pas.

Le service de découverte des comptes CRU n'offre pas de garanties de disponibilités 24/7. Cela peut donc impacter l'accès à votre service en cas d'indisponibilité de ce WAYF. Il vous faut donc évaluer la criticité de disponibilité de votre application avant de faire le choix de l'utiliser.

Si vous êtes gestionnaire de service utilisant les Comptes CRU merci de vous abonner à cette liste de diffusion afin d'être notifié en cas de mises à jour ou de maintenance du service.
https://listes.renater.fr/sympa/info/comptes-cru-users