Ceci est une ancienne révision du document !


Utilisation des certificats SAML dans la Fédération Education-Recherche : principe et recommandations

Les briques IDP et SP Shibboleth utilisent des certificats X.509 pour sécuriser les échanges SAML (i.e. signature et chiffrement des assertions SAML) entre ces deux parties.

Le certificat SAML d’un SP doit être publié dans les métadonnées afin de le rendre disponible pour les IDP de la fédération. Il en est de même pour le certificat SAML de l’IDP afin qu’il soit connu des SP de la fédération.

La publication du certificat SAML d’un IDP ou SP dans les métadonnées est réalisée au travers du guichet de la fédération.


1. Sécurisation des échanges SAML : principe

La sécurisation des échanges SAML est caractérisée par les opérations suivantes :

  • La signature des assertions SAML. Elle permet au destinataire d’une assertion SAML de s’assurer de l’identité de l’émetteur de l’assertion ainsi que d’en vérifier l’intégrité. Cette opération est effectuée par les deux parties impliquées dans l’échange (IDP et SP).
  • Le chiffrement des assertions SAML. Via l’utilisation du certificat du destinataire pour chiffrer l’assertion, l’émetteur s’assure que seul le destinataire concerné puisse accéder au contenu de l’assertion. Cette opération est effectué par défaut par l’IDP. Aucun scénario SAML2 ne prévoit en revanche le chiffrement d'une assertion SAML par un SP.

La réalisation de ces deux opérations (signature et chiffrement) se basent sur l’utilisation des certificats SAML de chacune des parties publiés dans les métadonnées de la fédération.

Le tableau suivant résume les opérations effectuées par chaque entité (IDP et SP) et le support cryptographique utilisé :

Entité SAML Sens de l'échange Opérations Support utilisé
IDP IDP vers SP Signature assertion SAML Clé privée IDP
IDP vers SP Chiffrement assertion SAML Certificat SP publié dans métadonnées
SP vers IDP Vérification signature SP assertion SAML Certificat SP publié dans métadonnées
SP SP vers IDP Signature assertion SAML Clé privée SP
IDP vers SP Déchiffrement assertion SAML Clé privée SP
IDP vers SP Vérification signature IDP assertion SAML Certificat IDP publié dans métadonnées



2. Recommandations RENATER pour les certificats SAML

RENATER recommande très fortement l’utilisation de certificats auto-signés pour les entités SAML car ils facilitent la configuration et la maintenance des briques techniques SAML (gestion d'une brique SAML sur le réseau interne, longue durée de vie…) et causent moins de problèmes d’interopérabilité avec des implémentations SAML2 différentes (cas d’une inter-fédération par exemple).

2.1 Recommandations techniques pour les certificats auto-signés

Important : Tous les certificats auto-signés nouvellement déclarés via le guichet de la fédération devront respecter les caractéristiques mentionnées ci-après.

Les certificats auto-signés utilisés pour la couche SAML doivent en particulier respecter les 2 caractéristiques suivantes:

  1. Une durée de vie longue (10 ans ou plus). Une longue durée de vie évite en effet des actions de renouvellements fréquents.
  2. Seules des clés de taille de 2048 bits minimum doivent être utilisées. Des tailles supérieures ne sont pas conseillées pour ne pas pénaliser les briques techniques lors des phases de chiffrement et signature.

Notes techniques:

  • Dans le cas de l'utilisation de profils SAML2 SOAP, il est nécessaire de faire concorder le hostname du serveur avec le CN du certificat ;
  • Certaines implémentations SAML2 comme ADFS n'autorisent pas l'association d'un même certificat pour deux entités différentes.

2.2 Considérations de sécurité générales

  1. La confiance dans les certificats auto-signés provient du fait qu'ils sont collectés, vérifiés et associés à leurs entités SAML respectives via le guichet de la Fédération Éducation-Recherche. Ces informations sont ensuite publiées dans les méta-données elles-mêmes signées par l'opérateur de fédération et accessibles via une URL en HTTPS, permettant ainsi d’en garantir l'intégrité et l'origine
  2. Tout certificat expiré ou utilisant une taille de clé ou un algorithme de chiffrement considéré comme trop faible doit être remplacé et supprimé une fois le renouvellement de certificat effectué ;
  3. Si la clé privée devait être compromise, les gestionnaires de l'entité SAML doivent immédiatement générer un nouveau biclé et remplacer promptement la clé publique de l'entité SAML. Il est nécessaire de prévenir les gestionnaires de la fédération afin que l'opération soit la plus rapide possible.


3. Procédures à destination des administrateurs d'IDP/SP

Les administrateurs d'IdP et/ou SP peuvent se référer aux procédures suivantes pour les opérations courantes impliquant la manipulation du certificat SAML de leur entité :