Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
federation:technique:metadata_registration_practice_statement [2016/09/08 10:31]
olivier.salaun@renater.fr [Modalités d'enregistrement et de mise à jour pour les fournisseurs de services]
— (Version actuelle)
Ligne 1: Ligne 1:
-[[:​federation:​en:​metadata_registration_practice_statement|Click here for the English version]] 
- 
-====== Processus de gestion des méta-données SAML ====== 
- 
-  * Nom de la fédération : Fédération Education-Recherche 
-  * Opérateur de la fédération : RENATER, France 
-  * Site web de la fédération : https://​services.renater.fr/​federation 
-  * Dernière mise à jour : Septembre 2016 
- 
-===== Historique des modifications ===== 
- 
-  * Juin 2013 : version initiale du document, 
-  * Septembre 2016 : mise à jour pour décrire le nouveau processus de gestion des méta-données. 
- 
-===== Modalités communes aux IdPs et au SPs ===== 
- 
-Les utilisateurs se connectent au [[https://​federation.renater.fr/​registry|guichet fédération]] via une connection HTTPS et doivent s'​authentifier auprès de leur IdP ou via [[https://​services.renater.fr/​federation/​participants/​sac|un Compte CRU]]. Les données renseignées par l'​administrateur d'un IdP ou un SP, une fois validées, sont stockées dans la base de données du guichet fédération et sont utilisées pour générer à la fois les méta-données de la fédération et les méta-données d'​inter-fédération. 
- 
-Un IdP/SP doit être rattaché à un organisme enregistré,​ ayant suivi le processus administratif d'​enregistrement. Le processus administratif d'​enregistrement impose la signature de [[https://​services.renater.fr/​federation/​docs/​chartes|la charte membre ou partenaire]]. Chaque organisme désigne deux personnes contacts fédération;​ ce sont les contacts représentant l'​organisme. Un organisme membre doit appartenir à la communauté Education & Recherche française et pourra enregistrer un IdP et des SPs dans la Fédération Education-Recherche. Un organisme partenaire correspond à vocation à opérer un fournisseur de services dans la Fédération Education-Recherche. 
- 
-RENATER propose une fédération de Test qui permet aux administrateurs de IdP/​SP ​ de réaliser des tests afin de s'​inscrire dans la fédération de production. L'​inscription dans une inter-fédération (like eduGAIN) nécessite une intervention de via le guichet fédération;​ une confirmation est demandée. 
- 
-===== Gestion des méta-données ===== 
- 
-[[https://​services.renater.fr/​federation/​technique/​newmetadata|Les méta-données de la fédération]] sont mises à jour automatiquement,​ à partir d'un template de méta-données et de la description des SP/IdP provenant du référentiel du guichet fédération. 
- 
-Les méta-données de la fédération sont mises à jour toutes les 30 minutes et publiées dans une version //​preview//​. RENATER fournit également des versions //​intermediate//​ et //main// pour les méta-données de production. Le processus de gestion des méta-données est décrit [[https://​services.renater.fr/​federation/​technique/​metadata_sets|dans un document dédié]]. 
- 
-Les fichiers de méta-données de la fédération on une durée de validité de 9 jours. 
- 
-Avant signature et publication,​ les méta-données de la fédération sont soumises à des tests de validation visant à éviter la publication de fichiers de méta-données incorrects. 
- 
-===== Modalités d'​enregistrement et de mise à jour pour les fournisseurs d'​identités ===== 
- 
-Une demande d'​enregistrement pour un fournisseur d'​identités peut être soumise par n'​importe quel utilisateur authentifié auprès d'un des IdP de la fédération ou via un compte CRU. L'​utilisateur doit sélectionner l'​organisme membre auquel l'IdP est associé. La demande d'​enregistrement est ensuite soumise à validation par un des contacts fédération dudit organisme. 
- 
-Critères à évaluer pour valider un fournisseur d'​identités : 
-  - vérification la validité des URLs fournies, 
-  - vérification de l'​intitulé du fournisseur d'​identités,​ 
-  - vérification des adresses email pour les contacts techniques, 
-  - vérification du format de l'​entityID,​ 
-  - vérification du/des domaine(s) (scopes) pour l'IdP. 
- 
-La validation de l'IdP donne lieu à une notification des administrateurs de l'IdP. 
- 
-L'​administrateur de l'IdP peut par la suite mettre à jour les informations concernant l'IdP à travers l'​interface web du guichet fédération. La demande de mise à jour requierera également une étape de validation parles opérateurs de la fédération si des informations sensibles ont été mises à jour (entityID, domaine pour les attributs //​scoped//​). 
- 
-===== Modalités d'​enregistrement et de mise à jour pour les fournisseurs de services ===== 
- 
-Une demande d'​enregistrement pour un fournisseur de services peut être soumise par n'​importe quel utilisateur authentifié auprès d'un des IdP de la fédération ou via un compte CRU. L'​utilisateur doit sélectionner l'​organisme (membre ou partenaire) auquel le SP est associé. La demande d'​enregistrement est ensuite soumise à validation par un des contacts fédération dudit organisme. 
- 
-Critères à évaluer pour valider un fournisseur d'​identités : 
-  - vérification la validité des URLs fournies, 
-  - vérification de l'​intitulé du fournisseur de services, 
-  - vérification de la catégorie de service et de la portée du service, 
-  - vérification de la liste d'​attributs demandés et de leur utilisation,​ 
-  - vérification du pays déclaré pour le traitement des données, 
-  - vérification des adresses email pour les contacts techniques, 
-  - vérification du format de l'​entityID. 
- 
-La validation du SP donne lieu à une notification des administrateurs de l'IdP. 
- 
-L'​administrateur du SP peut par la suite mettre à jour les informations concernant le SP à travers l'​interface web du guichet fédération. La demande de mise à jour requierera également une étape de validation parles opérateurs de la fédération si des informations sensibles ont été mises à jour (entityID, attributs utilisateurs demandés). 
- 
-