Ceci est une ancienne révision du document !
Click here for the English version
Méta-données SAML publiées par RENATER
RENATER publie des fichiers de méta-données SAML dans le cadre de son infrastructure de fédération d'identités. Ces fichiers de méta-données recensent les informations techniques sur les fournisseurs d'identités (IdP) et les fournisseurs de services (SP) renseignées auprès de RENATER au travers du guichet de la fédération.
Si vous opérez un SP ou un IdP enregistré auprès de RENATER les informations concernant votre service doivent apparaitre dans ces fichiers de méta-données ; vous devrez également configurer vos briques techniques pour charger ces méta-données.
Les anciennes URL de méta-données ne sont plus disponibles depuis le 21/12/2017.
Merci de mettre à jour la configuration de vos briques techniques afin de charger les nouveaux fichiers de méta-données, selon les modalités décrites ci-dessous :
Ce qui change:
- L'URL des fichiers de méta-données évolue.
- ⇒ Vous devez adapter la configuration de votre SP/IdP : cf §4.1
- Les méta-données sont signées avec un nouvel algorithme (SHA256).
- Dans le cas des fédérations de production, plusieurs versions des fichiers de méta-données sont proposées, avec des fréquences de mise à jour différentes.
- ⇒ Vous devez choisir une version selon le type d'entité SAML que vous gérez et la fédération à laquelle elle appartient : cf §4.2
- Un historique des versions de méta-données publiées est maintenant disponible dans un sous-répertoire intitulé history
- En cas de pb, vous avez donc la possibilité de comparer deux versions d'un même fichier de méta-données ou d'en charger une version précédente.
Le présent document vous donne toutes les précisions pour la mise en œuvre de ces nouvelles modalités.
1. Fédérations et méta-données
RENATER gère plusieurs cercles de confiance et publie un ou plusieurs fichiers de méta-données pour chacune de ces fédérations :
- la Fédération Education-Recherche : l'environnement de production pour la communauté Education/Recherche française ;
- l'inter-fédération eduGAIN (plus d'info) : l'environnement de production pour la communauté Education/Recherche internationale. Les données publiées proviennent de GEANT, opérateur de eduGAIN ;
- les fédérations locales (plus d'info) : des environnements de production pour des groupes d'établissements Education/Recherche français. L'URL des méta-données des fédérations locales n'est pas publique ;
- la Fédération de Test (plus d'info) : l'environnement de test pour les organismes Education/Recherche.
Les Comptes CRU sont un service d'authentification complémentaire proposé par RENATER. Ce fournisseur d'identités ne fait pas partie des fédération de production, mais vous pouvez télécharger ses méta-données individuellement.
2. Publication des méta-données
Les fichiers de méta-données font l'objet d'un processus de mise à jour automatique, à partir des données saisies dans le guichet fédération. Ce processus prend en charge la validation du format des méta-données, l'agrégation éventuelle (cas de eduGAIN) et la signature XML des fichiers de méta-données.
Les mises à jour sont publiées à des fréquences différentes selon la version du fichier utilisée, voir la description des versions de méta-données ci-après.
Les méta-données SAML publiées ont une durée de validité de 9 jours. Après cette échéance votre IdP/SP ne sera vraisemblablement plus capable d'utiliser une copie locale d'un fichier de méta-données.
2.1 Nouveaux fichiers de méta-données
Les nouveaux fichiers de méta-données sont publiés en plusieurs versions, correspondant à un processus de maturation de preview à intermediate puis main.
Les versions courantes des nouveaux fichiers de méta-données associés à chacune des fédérations sont résumées dans le tableau suivant :
Fédération | URL méta-données | Délai de prise en compte suite à modification sur le Guichet de la Fédération |
---|---|---|
Fédération Education-Recherche | Main: main-sps-renater-metadata.xml main-idps-renater-metadata.xml main-all-renater-metadata.xml | Au maximum 1 jour et 30 minutes plus tard |
Fédération eduGAIN | Main: main-sps-edugain-metadata.xml main-idps-edugain-metadata.xml main-all-edugain-metadata.xml | Au maximum 1 jour et 30 minutes plus tard |
Fédérations locales | Main: URL non publiques | Au maximum 1 jour et 30 minutes plus tard |
Fédération de Test | Preview: preview-sps-renater-test-metadata.xml preview-idps-renater-test-metadata.xml preview-all-renater-test-metadata.xml | Au maximum 30 minutes plus tard |
Fédération | URL méta-données | Délai de prise en compte suite à modification sur le Guichet de la Fédération |
---|---|---|
Fédération Education-Recherche | Preview: preview-sps-renater-metadata.xml preview-idps-renater-metadata.xml preview-all-renater-metadata.xml Intermediate: intermediate-sps-renater-metadata.xml intermediate-idps-renater-metadata.xml intermediate-all-renater-metadata.xml | Preview: Au maximum 30 minutes plus tard Intermediate: - Au maximum 6h30 plus tard si MAJ dans le guichet avant 13h30 - Au maximum 18h30 plus tard si MAJ dans le guichet après 13h30 |
Fédération eduGAIN | Preview: preview-sps-edugain-metadata.xml preview-idps-edugain-metadata.xml preview-all-edugain-metadata.xml Intermediate: intermediate-sps-edugain-metadata.xml intermediate-idps-edugain-metadata.xml intermediate-all-edugain-metadata.xml | Preview: Au maximum 30 minutes plus tard Intermediate: - Au maximum 6h30 plus tard si MAJ dans le guichet avant 13h30 - Au maximum 18h30 plus tard si MAJ dans le guichet après 13h30 |
Fédérations locales | Preview: Intermediate: URL non publiques | Preview: Au maximum 30 minutes plus tard Intermediate: - Au maximum 6h30 plus tard si MAJ dans le guichet avant 13h30 - Au maximum 18h30 plus tard si MAJ dans le guichet après 13h30 |
2.2 Certificat associé aux nouveaux fichiers de méta-données
Pour pouvoir vérifier la signature des nouveaux fichiers de métadonnées, vous devez télécharger le nouveau certificat X.509 associé depuis l'adresse suivante : https://metadata.federation.renater.fr/certs/renater-metadata-signing-cert-2016.pem
$ /usr/bin/curl -O https://metadata.federation.renater.fr/certs/renater-metadata-signing-cert-2016.pem $ /usr/bin/openssl x509 -sha256 -noout -fingerprint -in renater-metadata-signing-cert-2016.pem SHA256 Fingerprint=6B:D3:5F:7A:B1:64:EC:79:03:0D:36:97:BA:40:BD:23:5D:AA:DA:C0:43:47:C6:E5:3E:B7:72:A7:74:2C:16:5F
2.3 Anciens fichiers de méta-données
Les anciens fichiers de méta-données ainsi que le certificat associé sont rappelés ici à titre indicatif :
Anciens fichiers de méta-données :
Fédération Éducation-Recherche : idps-renater-metadata.xml, sps-renater-metadata.xml et renater-metadata.xml
EduGAIN : idps-edugain-metadata.xml, sps-edugain-metadata.xml et idps-edugain+renater+sac-metadata.xml
Fédération de Test : renater-test-metadata.xml
Certificat X.509 associé aux anciens fichiers de méta-données :
https://federation.renater.fr/renater/metadata-federation-renater.crt
3. Enregistrement dans les méta-données
Les méta-données sont construites à partir des informations techniques fournies par les administrateurs des IdP/SP via le guichet fédération. L'enregistrement d'un SP/IdP dans une fédération de production ainsi que la modification de certaines informations techniques sont soumis à validation par les contacts fédération désignés par l'organisme (membre ou partenaire) dont vous dépendez.
L'accès au guichet de la fédération requiert une authentification. Si vous n'avez pas (encore) un fournisseur d'identités enregistré dans la Fédération Éducation-Recherche, vous devez au préalable créer votre compte CRU.
4. Chargement des méta-données
Pour que votre IdP/SP fonctionne vis à vis des autres entités SAML d'une fédération vous devez configurer votre brique technique pour charger régulièrement le fichier de méta-données de la fédération. Nous vous recommandons de planifier cette synchronisation toutes les heures. Cette configuration vous garantit une prise en compte rapide en cas de modifications urgentes par RENATER (même si la fréquence de publication habituelle des méta-données n'est que quotidienne).
4.1 Exemples de configuration pour le logiciel Shibboleth
Les exemples ci-dessous gèrent le chargement des méta-données de la Fédération Education-Recherche. Vous devrez les adapter pour les autres fédérations (eduGAIN, Test, fédérations locales).
Pour le logiciel Shibboleth IdP 3.x :
- metadata-providers.xml
<MetadataProvider id="RenaterMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/main-sps-renater-metadata.xml" metadataURL="https://metadata.federation.renater.fr/renater/main/main-sps-renater-metadata.xml"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="%{idp.home}/credentials/renater-metadata-signing-cert-2016.pem"> </MetadataFilter> </MetadataProvider>
Pour le logiciel Shibboleth IdP 2.x :
- relying-party.xml
<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:ChainingMetadataProvider"> <metadata:MetadataProvider id="RENATER" xsi:type="metadata:FileBackedHTTPMetadataProvider" metadataURL="https://metadata.federation.renater.fr/renater/main/main-sps-renater-metadata.xml" backingFile="/opt/shibboleth-idp/metadata/main-sps-renater-metadata.xml"> <metadata:MetadataFilter xsi:type="metadata:SignatureValidation" trustEngineRef="shibboleth.MetadataTrustEngine" requireSignedMetadata="true" /> </metadata:MetadataProvider> </metadata:MetadataProvider> <!-- Trust engine used to evaluate the signature on loaded metadata. --> <security:TrustEngine id="shibboleth.MetadataTrustEngine" xsi:type="security:StaticExplicitKeySignature"> <security:Credential id="TestCredentials" xsi:type="security:X509Filesystem"> <security:Certificate>/opt/shibboleth-idp/credentials/renater-metadata-signing-cert-2016.pem</security:Certificate> </security:Credential> </security:TrustEngine>
Pour le logiciel Shibboleth SP 2.x :
- shibboleth2.xml
<MetadataProvider type="XML" uri="https://metadata.federation.renater.fr/renater/main/main-idps-renater-metadata.xml" backingFilePath="main-idps-renater-metadata.xml" reloadInterval="3600"> <MetadataFilter type="Signature" certificate="renater-metadata-signing-cert-2016.pem"/> </MetadataProvider>
4.2 Quel(s) fichier(s) de méta-données charger ?
Selon le type d'entité SAML que vous gérez et la fédération à laquelle elle appartient, vous devez charger des fichiers de méta-données différents :
Si vous gérez un IdP :
inscrit dans | utilisez le fichier |
---|---|
Fédération de Test | preview-sps-renater-test-metadata.xml |
Fédération Education-Recherche ET eduGAIN (*) | main-sps-renater-metadata.xml ET main-sps-edugain-metadata.xml |
(*) : par défaut les IdP inscrits dans la Fédération Education-Recherche sont également inscrits dans l'inter-fédération eduGAIN, sauf s'ils font le choix de se désinscrire de eduGAIN (principe de l'OPT-OUT). Ce mode de fonctionnement impose que réciproquement un IdP français charge les méta-données associées à tous les SP en provenance de eduGAIN. Voir cette documentation sur la participation à eduGAIN.
Si vous gérez un SP :
inscrit dans | utilisez le fichier |
---|---|
Fédération de Test | preview-idps-renater-test-metadata.xml |
Fédération Education-Recherche | main-idps-renater-metadata.xml |
eduGAIN | main-idps-renater-metadata.xml ET main-idps-edugain-metadata.xml |
Si vous gérez un DS (WAYF) :
inscrit dans | utilisez le fichier |
---|---|
Fédération de Test | preview-all-renater-test-metadata.xml |
Fédération Education-Recherche | main-all-renater-metadata.xml |
eduGAIN | main-all-edugain+renater+sac-metadata.xml |
4.3 Mon SP/IdP ne parvient pas à charger les méta-données SAML
Si vous n'utilisez pas les implémentations de référence de RENATER (Shibboleth et SWITCH WAYF), nous vous recommandons de vérifier l'interopérabilité de votre implémentation SAML avec notre format de méta-données SAML2 via la Fédération de Test dans un premier temps. Si le problème persiste, tournez-vous vers les développeur du logiciel ou éventuellement vers RENATER.
Si vous utilisez Shibboleth ou SWITCH WAYF, signalez-nous le problème rencontrez. Le logiciel Shibboleth gère une copie locale des fichiers de méta-données qui sera utilisée, faute de pouvoir en charger une version à jour ; cette version locale du fichier de méta-données est exploitable pendant 9 jours.
La vérification de la signature des méta-données SAML publiées par RENATER utilise l'algorithme de hashage SHA-256. Cet algorithme est géré par OpenSSL 0.9.8 (et versions plus récentes) et Java 4 (et versions plus récentes). Si votre implémentation SAML n'est pas capable de vérifier la signature des méta-données SAML, vérifiez la version de la bibliothèque OpenSSL et éventuellement contactez le support du logiciel SAML concerné. Voir la documentation Shibboleth IdP signature interoperability issues du consortium Shibboleth.
Nous publions un historique des versions de méta-données publiées pour les fédérations de production. Ces versions historisées sont localisées dans un sous répertoire intitulé history.
Exemple pour la Fédération Education-Recherche : https://metadata.federation.renater.fr/renater/main/history/. En cas de problème, vous avez donc la possibilité de comparer deux versions d'un fichier de méta-données ou d'en charger une version précédente.