Version 0.2 (juin 2023)

Ce document définit les conditions générales d’usages auxquelles doivent se conformer les participants à la Fédération Éducation-Recherche. Ces règles sont des conventions destinées à garantir une relation de confiance entre les participants. En effet, si chaque organisme reste souverain dans les choix qu’il fait et les risques qu’il assume pour son propre système d’information, ceci n’est pas le cas pour un environnement mutualisé comme une fédération d’identité. Un autre document, le cadre technique du service, précise quand à d’autres règles, de nature technique, applicable à l'ensemble des fédérations opérées par le GIP Renater.

Les recommandations et obligations stipulées dans ce document pourront être régulièrement modifiées par l’opérateur du service. Ces modifications peuvent être motivées notamment par des problèmes de sécurité, de nouveaux besoins fonctionnels, l'apparition ou l'évolution d'une norme ou d'un produit. Elles seront préalablement, et le plus tôt possible, annoncées par courrier électronique aux participants du service.

Une entité SAML, comme n’importe quel autre composant informatique, peut être destiné à rendre un service effectif à son public cible, finalité qu'on qualifie généralement de production. Elle peut également être destinée à une autre finalité, et notamment celle de jouer le rôle de bac à sable à des fins de développement, de test, de validation, etc. sur une instance distincte de celle de production. Ces instances utilisant souvent des configurations moins durcies que les instances de pré-production, pour diverses raisons (finalisation non aboutie, contraintes supplémentaires, etc.), une pratique de sécurité commune consiste à isoler ces composants dans des environnements dédiés, et cloisonnés.

La même logique s'applique à la Fédération Éducation-Recherche, considéré comme un environnement dédié à la production, et les entités SAML qui ne sont pas dédié à cet usage n'y ont donc pas leur place. Pour rappel, il existe deux autres fédérations de portée nationale:

• une fédération de qualification, pour les usages similaires à la production
• une fédération de test, pour tous les autres usages

La Fédération Éducation-Recherche est destinée à mettre à disposition des applications pour la communauté Enseignement/Recherche. Par conséquence, toute application qui y est enregistrée est réputée être accessible par l'ensemble des utilisateurs de l'ensemble de ces établissements.

Il est tout à fait envisageable néanmoins de restreindre cette accessibilité, à condition de respecter l'ensemble des points suivants:

• le contrôle d'accès doit être techniquement effectif
• l'utilisateur ne doit pas être pris en défaut
• le résultat doit être cohérent avec l'objectif de la fédération

Pour être effectif, le contrôle d'accès à une application doit être basée sur des mesures techniques adaptées, parmi lesquelles on peut citer:

• des restrictions au niveau réseau (filtrage IP)
• des restrictions au niveau SAML (filtrage des métadonnées chargées)
• des restrictions au niveau du serveur web (filtrage arbitraire au niveau du serveur web)
• des restrictions au niveau applicatif (filtrage arbitraire au niveau de l'application)

Pour rappel, la redirection d'un utilisateur vers un service de découverte, ou vers un IdP spécifique, opérée par un SP au moment de l'authentification d'un utilisateur, n'est pas une mesure de contrôle d'accès, et se contourne trivialement.

Un utilisateur ne doit pas se retrouver en face d'un message d'erreur incompréhensible ou ambigu pour lui, parce qu'il tente d'utiliser une application, pour quelque raison que ce soit, à laquelle il n'a cependant pas accès. Ce qui suppose que:

• la description du service dans les métadonnées de la fédération doit explicitement mentionner la limitation d'accès, idéalement de façon à ce qu'une simple lecture de cette description permette à l'utilisateur de savoir s'il est concerné ou non
• la page d'accueil du service, ou les conditions d'usage de celui-ci, si elles sont accessibles avant l'authentification, doivent être explicites également, avec les mêmes critères d'appréciation
• le service de découverte utilisé ne doit proposer que des fournisseurs d'accès correspondant à des utilisateurs susceptibles d'accéder au service: il n'est pas pertinent, par exemple, de passer par le service de découverte du GIP RENATER (https://discovery.renater.fr) pour un service destiné à une dizaine d'établissements, par exemple
• si un utilisateur, une fois authentifié, n'est cependant pas autorisé à accéder au service, le message d'erreur doit être explicite

Au delà d'un simple respect des utilisateurs, il s'agit également limiter les conséquences pour les autres participants, notamment les couts de support pour l'opérateur de la fédération, qui constitue souvent le seul interlocuteur identifié pour un utilisateur perdu…

Indépendamment des aspects évoqués plus haut, les restrictions d'accès mises en place doivent cohérentes avec l'objectif principal de la Fédération Education/Recherche: un service destiné aux utilisateurs d'un établissement unique, par exemple n'a rien à faire dans cette fédération, même si cette restriction est explicitement documentée partout où c'est nécessaire, et quelle que soit la façon dont elle est implémentée. Dans ce cas de figure, une relation bilatérale avec l'IdP en question permet d'arriver au même résultat, sans impacter l'environnement mutualisé constitué par une fédération nationale, qu'il s'agisse d'une pollution technique (augmentation inutile de la taille des métadonnées), ou d'une pollution organisationnelle (dilution du catalogue de service).

Les fédérations d'identité locales constituent également une alternative intéressante pour toutes les situations intermédiaires entre un service destiné à un établissement unique, et à l'ensemble des établissements de la communauté ESR.