Click here for the English version

Méta-données SAML publiées par RENATER

RENATER publie des fichiers de méta-données SAML dans le cadre de son infrastructure de fédération d'identités. Ces fichiers de méta-données recensent les informations techniques sur les fournisseurs d'identités (IdP) et les fournisseurs de services (SP) renseignées auprès de RENATER au travers du guichet de la fédération.

Si vous opérez un SP ou un IdP enregistré auprès de RENATER les informations concernant votre service doivent apparaitre dans ces fichiers de méta-données ; vous devrez également configurer vos briques techniques pour charger ces méta-données.

IMPORTANT : Evolution des méta-données

Les anciennes URL de méta-données ne sont plus disponibles depuis le 21/12/2017.

Merci de mettre à jour la configuration de vos briques techniques afin de charger les nouveaux fichiers de méta-données, selon les modalités décrites ci-dessous :

Ce qui change:

  • L'URL des fichiers de méta-données évolue.
    • ⇒ Vous devez adapter la configuration de votre SP/IdP : cf §4.1
  • Les méta-données sont signées avec un nouvel algorithme (SHA256).
    • ⇒ Vous devez télécharger un nouveau certificat : cf §2.2
    • ⇒ Vous devez configurer votre SP ou IdP pour utiliser ce nouveau certificat lors de la vérification de signature des méta-données : cf §4.1
  • Dans le cas des fédérations de production, plusieurs versions des fichiers de méta-données sont proposées, avec des fréquences de mise à jour différentes.
    • ⇒ Vous devez choisir une version selon le type d'entité SAML que vous gérez et la fédération à laquelle elle appartient : cf §4.2
  • Un historique des versions de méta-données publiées est maintenant disponible dans un sous-répertoire intitulé history

Le présent document vous donne toutes les précisions pour la mise en œuvre de ces nouvelles modalités.

1. Fédérations et méta-données

RENATER gère plusieurs cercles de confiance et publie un ou plusieurs fichiers de méta-données pour chacune de ces fédérations :

  • la Fédération Education-Recherche : l'environnement de production pour la communauté Education/Recherche française ;
  • l'inter-fédération eduGAIN (plus d'info) : l'environnement de production pour la communauté Education/Recherche internationale. Les données publiées proviennent de GEANT, opérateur de eduGAIN ;
  • les fédérations locales (plus d'info) : des environnements de production pour des groupes d'établissements Education/Recherche français. L'URL des méta-données des fédérations locales n'est pas publique ;
  • la Fédération de Test (plus d'info) : l'environnement de test pour les organismes Education/Recherche.

Les Comptes CRU sont un service d'authentification complémentaire proposé par RENATER. Ce fournisseur d'identités ne fait pas partie des fédération de production, mais vous pouvez télécharger ses méta-données individuellement.

2. Publication des méta-données

Les fichiers de méta-données font l'objet d'un processus de mise à jour automatique, à partir des données saisies dans le guichet fédération. Ce processus prend en charge la validation du format des méta-données, l'agrégation éventuelle (cas de eduGAIN) et la signature XML des fichiers de méta-données.

Les mises à jour sont publiées à des fréquences différentes selon la version du fichier utilisée, voir la description des versions de méta-données ci-après.

Les méta-données SAML publiées ont une durée de validité de 9 jours. Après cette échéance votre IdP/SP ne sera vraisemblablement plus capable d'utiliser une copie locale d'un fichier de méta-données.

2.1 Nouveaux fichiers de méta-données

Les nouveaux fichiers de méta-données sont publiés en plusieurs versions, correspondant à un processus de maturation de preview à intermediate puis main.

Ce processus de maturation des méta-données est appliqué à l'ensemble des fédération de production (Education-Recherche, eduGain et Fédérations locales). Il ne s'applique pas en revanche à la Fédération de Test pour laquelle seule la version preview est publiée.

Les versions courantes des nouveaux fichiers de méta-données associés à chacune des fédérations sont résumées dans le tableau suivant :

Fédération URL méta-données Délai de prise en compte suite à modification sur le Guichet de la Fédération
Fédération Education-Recherche Main:
main-sps-renater-metadata.xml
main-idps-renater-metadata.xml
main-all-renater-metadata.xml
Au maximum 1 jour et 30 minutes plus tard
Fédération eduGAIN Main:
main-sps-edugain-metadata.xml
main-idps-edugain-metadata.xml
main-all-edugain-metadata.xml
Au maximum 1 jour et 30 minutes plus tard
Fédérations locales Main:
URL non publiques
Au maximum 1 jour et 30 minutes plus tard
Fédération de Test Preview:
preview-sps-renater-test-metadata.xml
preview-idps-renater-test-metadata.xml
preview-all-renater-test-metadata.xml
Au maximum 30 minutes plus tard


Pour les fédérations de production, RENATER publie d'autres versions des fichiers de méta-données, mises à jour plus fréquemment :
Fédération URL méta-données Délai de prise en compte suite à modification sur le Guichet de la Fédération
Fédération Education-Recherche Preview:
preview-sps-renater-metadata.xml
preview-idps-renater-metadata.xml
preview-all-renater-metadata.xml
Intermediate:
intermediate-sps-renater-metadata.xml
intermediate-idps-renater-metadata.xml
intermediate-all-renater-metadata.xml
Preview:
Au maximum 30 minutes plus tard

Intermediate:
- Au maximum 6h30 plus tard si MAJ dans le guichet avant 13h30
- Au maximum 18h30 plus tard si MAJ dans le guichet après 13h30
Fédération eduGAIN Preview:
preview-sps-edugain-metadata.xml
preview-idps-edugain-metadata.xml
preview-all-edugain-metadata.xml
Intermediate:
intermediate-sps-edugain-metadata.xml
intermediate-idps-edugain-metadata.xml
intermediate-all-edugain-metadata.xml
Preview:
Au maximum 30 minutes plus tard

Intermediate:
- Au maximum 6h30 plus tard si MAJ dans le guichet avant 13h30
- Au maximum 18h30 plus tard si MAJ dans le guichet après 13h30
Fédérations locales Preview:
Intermediate:
URL non publiques
Preview:
Au maximum 30 minutes plus tard

Intermediate:
- Au maximum 6h30 plus tard si MAJ dans le guichet avant 13h30
- Au maximum 18h30 plus tard si MAJ dans le guichet après 13h30


Les différentes versions des fichiers de méta-données sont expliquées plus en détail sur cette page dédiée

2.2 Certificat associé aux nouveaux fichiers de méta-données

Pour pouvoir vérifier la signature des nouveaux fichiers de métadonnées, vous devez télécharger le nouveau certificat X.509 associé depuis l'adresse suivante : https://metadata.federation.renater.fr/certs/renater-metadata-signing-cert-2016.pem

$ /usr/bin/curl -O https://metadata.federation.renater.fr/certs/renater-metadata-signing-cert-2016.pem 
$ /usr/bin/openssl x509 -sha256 -noout -fingerprint -in renater-metadata-signing-cert-2016.pem
SHA256 Fingerprint=6B:D3:5F:7A:B1:64:EC:79:03:0D:36:97:BA:40:BD:23:5D:AA:DA:C0:43:47:C6:E5:3E:B7:72:A7:74:2C:16:5F

2.3 Anciens fichiers de méta-données

Les anciens fichiers de méta-données ainsi que le certificat associé sont rappelés ici à titre indicatif :

Anciens fichiers de méta-données :
Fédération Éducation-Recherche : idps-renater-metadata.xml, sps-renater-metadata.xml et renater-metadata.xml
EduGAIN : idps-edugain-metadata.xml, sps-edugain-metadata.xml et idps-edugain+renater+sac-metadata.xml
Fédération de Test : renater-test-metadata.xml

Certificat X.509 associé aux anciens fichiers de méta-données :
https://federation.renater.fr/renater/metadata-federation-renater.crt

3. Enregistrement dans les méta-données

Les méta-données sont construites à partir des informations techniques fournies par les administrateurs des IdP/SP via le guichet fédération. L'enregistrement d'un SP/IdP dans une fédération de production ainsi que la modification de certaines informations techniques sont soumis à validation par les contacts fédération désignés par l'organisme (membre ou partenaire) dont vous dépendez.

L'accès au guichet de la fédération requiert une authentification. Si vous n'avez pas (encore) un fournisseur d'identités enregistré dans la Fédération Éducation-Recherche, vous devez au préalable créer votre compte CRU.

4. Chargement des méta-données

Pour que votre IdP/SP fonctionne vis à vis des autres entités SAML d'une fédération vous devez configurer votre brique technique pour charger régulièrement le fichier de méta-données de la fédération. Nous vous recommandons de planifier cette synchronisation toutes les heures. Cette configuration vous garantit une prise en compte rapide en cas de modifications urgentes par RENATER (même si la fréquence de publication habituelle des méta-données n'est que quotidienne).

Votre idP/SP est protégé par un firewall ou un proxy : nous attirons votre attention sur le fait que l'adresse IP du serveur metadata.federation.renater.fr peut changer, sans notification. Nous vous recommandons de mettre en place des ACLs basées sur le nom de host et pas sur l'adresse IP du serveur.

4.1 Exemples de configuration pour le logiciel Shibboleth

Les exemples ci-dessous gèrent le chargement des méta-données de la Fédération Education-Recherche. Vous devrez les adapter pour les autres fédérations (eduGAIN, Test, fédérations locales).

Pour le logiciel Shibboleth IdP 3.x :

metadata-providers.xml
<MetadataProvider id="RenaterMetadata"
                      xsi:type="FileBackedHTTPMetadataProvider"
                      backingFile="%{idp.home}/metadata/main-sps-renater-metadata.xml"
                      metadataURL="https://metadata.federation.renater.fr/renater/main/main-sps-renater-metadata.xml"> 
 
  <MetadataFilter xsi:type="SignatureValidation"
            requireSignedRoot="true"
            certificateFile="%{idp.home}/credentials/renater-metadata-signing-cert-2016.pem">
  </MetadataFilter>        
</MetadataProvider>

Pour le logiciel Shibboleth IdP 2.x :

relying-party.xml
<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:ChainingMetadataProvider">
<metadata:MetadataProvider id="RENATER" xsi:type="metadata:FileBackedHTTPMetadataProvider"
			metadataURL="https://metadata.federation.renater.fr/renater/main/main-sps-renater-metadata.xml"
			backingFile="/opt/shibboleth-idp/metadata/main-sps-renater-metadata.xml">
     <metadata:MetadataFilter xsi:type="metadata:SignatureValidation"
                    trustEngineRef="shibboleth.MetadataTrustEngine"
                    requireSignedMetadata="true" />
</metadata:MetadataProvider>
</metadata:MetadataProvider>
 
<!-- Trust engine used to evaluate the signature on loaded metadata. -->
<security:TrustEngine id="shibboleth.MetadataTrustEngine" xsi:type="security:StaticExplicitKeySignature">
 
  <security:Credential id="TestCredentials" xsi:type="security:X509Filesystem">
    <security:Certificate>/opt/shibboleth-idp/credentials/renater-metadata-signing-cert-2016.pem</security:Certificate>
    </security:Credential>
  </security:TrustEngine>

Pour le logiciel Shibboleth SP 2.x :

shibboleth2.xml
<MetadataProvider type="XML" uri="https://metadata.federation.renater.fr/renater/main/main-idps-renater-metadata.xml"
              backingFilePath="main-idps-renater-metadata.xml" reloadInterval="3600">
   <MetadataFilter type="Signature" certificate="renater-metadata-signing-cert-2016.pem"/>
</MetadataProvider>

4.2 Quel(s) fichier(s) de méta-données charger ?

Selon le type d'entité SAML que vous gérez et la fédération à laquelle elle appartient, vous devez charger des fichiers de méta-données différents :

Si vous gérez un IdP :

inscrit dans utilisez le fichier
Fédération de Test preview-sps-renater-test-metadata.xml
Fédération Education-Recherche ET eduGAIN (*) main-sps-renater-metadata.xml ET main-sps-edugain-metadata.xml

(*) : par défaut les IdP inscrits dans la Fédération Education-Recherche sont également inscrits dans l'inter-fédération eduGAIN, sauf s'ils font le choix de se désinscrire de eduGAIN (principe de l'OPT-OUT). Ce mode de fonctionnement impose que réciproquement un IdP français charge les méta-données associées à tous les SP en provenance de eduGAIN. Voir cette documentation sur la participation à eduGAIN.

Si vous gérez un SP :

inscrit dans utilisez le fichier
Fédération de Test preview-idps-renater-test-metadata.xml
Fédération Education-Recherche main-idps-renater-metadata.xml
eduGAIN main-idps-renater-metadata.xml ET main-idps-edugain-metadata.xml


Si vous gérez un DS (WAYF) :

inscrit dans utilisez le fichier
Fédération de Test preview-all-renater-test-metadata.xml
Fédération Education-Recherche main-all-renater-metadata.xml
eduGAIN main-all-edugain+renater+sac-metadata.xml


4.3 Mon SP/IdP ne parvient pas à charger les méta-données SAML

Si vous n'utilisez pas les implémentations de référence de RENATER (Shibboleth et SWITCH WAYF), nous vous recommandons de vérifier l'interopérabilité de votre implémentation SAML avec notre format de méta-données SAML2 via la Fédération de Test dans un premier temps. Si le problème persiste, tournez-vous vers les développeur du logiciel ou éventuellement vers RENATER.

Si vous utilisez Shibboleth ou SWITCH WAYF, signalez-nous le problème rencontrez. Le logiciel Shibboleth gère une copie locale des fichiers de méta-données qui sera utilisée, faute de pouvoir en charger une version à jour ; cette version locale du fichier de méta-données est exploitable pendant 9 jours.

La vérification de la signature des méta-données SAML publiées par RENATER utilise l'algorithme de hashage SHA-256. Cet algorithme est géré par OpenSSL 0.9.8 (et versions plus récentes) et Java 4 (et versions plus récentes). Si votre implémentation SAML n'est pas capable de vérifier la signature des méta-données SAML, vérifiez la version de la bibliothèque OpenSSL et éventuellement contactez le support du logiciel SAML concerné. Voir la documentation Shibboleth IdP signature interoperability issues du consortium Shibboleth.

Nous publions un historique des versions de méta-données publiées pour les fédérations de production. Ces versions historisées sont localisées dans un sous répertoire intitulé history.

Exemple pour la Fédération Education-Recherche : https://metadata.federation.renater.fr/renater/main/history/. En cas de problème, vous avez donc la possibilité de comparer deux versions d'un fichier de méta-données ou d'en charger une version précédente.