Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | |||
federation:technique:registry [2019/03/07 15:07] – [2. Accès au service] ludovic.auxepaules@renater.fr | federation:technique:registry [Date inconnue] (Version actuelle) – supprimée - modification externe (Date inconnue) 127.0.0.1 | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | [[: | ||
- | |||
- | ====== Guichet de la Fédération ====== | ||
- | |||
- | ===== 1. Description du service ===== | ||
- | |||
- | Le guichet de la fédération est un service en ligne, permettant aux contacts fédération de la communauté Education-Recherche de gérer leurs entités SAML (fournisseurs d' | ||
- | |||
- | Les informations techniques collectées au travers du guichet sont ensuite **[[https:// | ||
- | |||
- | |||
- | \\ | ||
- | ===== 2. Accès au service ===== | ||
- | Le service est accessible à l' | ||
- | |||
- | L' | ||
- | |||
- | Le processus d’authentification du guichet est basé sur le mécanisme de fédérations d’identités en vigueur. L’utilisateur peut ainsi s’authentifier via l’IDP de son établissement d’origine (si ce dernier dispose d’un IDP en production) ou à défaut en utilisant un compte CRU (//Compte Réseau Universel// | ||
- | |||
- | Dans ce dernier cas, l’utilisateur devra d’abord créer son compte CRU via [[https:// | ||
- | |||
- | {{: | ||
- | |||
- | \\ Plus de détails sur les comptes CRU : [[https:// | ||
- | |||
- | \\ | ||
- | ===== 3. Fédérations disponibles sur le guichet ===== | ||
- | |||
- | Le guichet gère l' | ||
- | * **Fédérations de production** : Fédération Education-Recherche, | ||
- | * **Fédération de test**. | ||
- | |||
- | ==== 3.1 Inscription dans une fédération de production ==== | ||
- | |||
- | Les établissements souhaitant déclarer une ou plusieurs entités SAML dans une fédération de production (Fédération Education-Recherche, | ||
- | |||
- | <note important> | ||
- | </ | ||
- | |||
- | Le type d' | ||
- | * **Les organismes membres** (appartenant à la communauté éducation/ | ||
- | * **Les organismes partenaires** sont quant à eux limités à la déclaration de SP. | ||
- | |||
- | |||
- | ==== 3.2 Fédération Education-Recherche ==== | ||
- | |||
- | Le guichet permet d' | ||
- | |||
- | La Fédération Education-Recherche est un service opéré par le GIP RENATER. Elle offre **un cadre technique et de confiance entre des fournisseur d' | ||
- | |||
- | Plus d' | ||
- | |||
- | |||
- | ==== 3.3 Fédération eduGAIN ==== | ||
- | |||
- | Le guichet permet d' | ||
- | |||
- | EduGAIN est le service **d' | ||
- | |||
- | Les deux cas d' | ||
- | * **Vous gérez un IdP** et vos utilisateurs accèdent à un SP enregistré dans eduGAIN ; | ||
- | * **Vous gérez un SP** et vous voulez ouvrir l' | ||
- | |||
- | Par défaut sur le guichet, la gestion de l' | ||
- | * **Si vous gérez un IDP.** Tout IDP enregistré dans la Fédération Education-Recherche est automatiquement enregistré dans la Fédération eduGAIN. Les administrateurs d'IdP ne souhaitant pas participer à eduGAIN doivent ainsi explicitement décocher la case eduGAIN (//principe de l' | ||
- | * **Si vous gérez un SP.** Les administrateurs de SP souhaitant participer à eduGAIN doivent quant à eux explicitement cocher la case eduGAIN | ||
- | |||
- | Plus de détails sur eduGAIN : https:// | ||
- | |||
- | |||
- | ==== 3.4 Fédération locale ==== | ||
- | |||
- | Le guichet offre la possibilité de gérer une fédération locale à un établissement, | ||
- | |||
- | Il permet notamment à un établissement d' | ||
- | |||
- | Pour plus de détails sur la fédération locale et connaître les conditions d' | ||
- | |||
- | ==== 3.5 Fédération de test ==== | ||
- | |||
- | Le guichet propose également une fédération de Test afin de tester rapidement la configuration et le bon fonctionnement de son IDP ou SP. | ||
- | |||
- | Tout utilisateur authentifié (voir §2 ci-dessus) peut enregistrer un IDP ou SP dans la fédération de Test, **aucune démarche administrative préalable auprès de RENATER n'est requise dans ce cas**. | ||
- | |||
- | Plus de détails sur la fédération de test : https:// | ||
- | |||
- | |||
- | \\ | ||
- | ===== 4. Rôles utilisateur dans l' | ||
- | |||
- | ==== 4.1 Contact technique ==== | ||
- | |||
- | Le contact technique est la personne en charge d’opérer techniquement l’entité SAML (IDP/SP) pour un établissement. | ||
- | |||
- | Sur le guichet, il peut effectuer les actions suivantes : | ||
- | * Créer/ | ||
- | * Visualiser les entités SAML pour lesquelles il est déclaré comme contact technique ; | ||
- | * Rattacher une entité SAML à un établissement ; | ||
- | * Enregistrer une entité SAML dans une ou plusieurs fédérations proposées sur le guichet. | ||
- | |||
- | **Certaines de ses actions sont sujettes à modération/ | ||
- | * Déclaration d’une entité SAML avec rattachement à un établissement ; | ||
- | * Enregistrement d’une entité SAML dans une fédération de production ; | ||
- | * Mise à jour d’un paramètre sensible (entityID, scope, attributs demandés, organisme de rattachement) d’une entité SAML enregistrée dans une fédération de production. | ||
- | |||
- | Le contact technique doit être renseigné lors de la première déclaration de l' | ||
- | |||
- | ==== 4.2 Contact fédération ==== | ||
- | |||
- | Le contact fédération est le référent fédération au sein de l' | ||
- | |||
- | **Deux contacts fédération sont obligatoirement nommés pour un établissement** lors de la phase | ||
- | [[https:// | ||
- | |||
- | La finalisation de l' | ||
- | |||
- | Sur le guichet, le contact fédération peut effectuer l' | ||
- | * Visualiser de manière synthétique l' | ||
- | * Valider certaines opérations réalisées par les contacts techniques de ces mêmes entités SAML (cf. §4.1 ci-dessus). | ||
- | |||
- | |||
- | ==== 4.3 Utilisation des informations de contact au sein du guichet ==== | ||
- | |||
- | Les adresses email de contact fournies pour le contact fédération (lors de l' | ||
- | |||
- | - Contrôle d' | ||
- | - Transmission de notifications ou d' | ||
- | |||
- | == Contrôle d' | ||
- | |||
- | Le contrôle d' | ||
- | |||
- | * **Cas d'un utilisateur “contact technique”** : il pourra voir et accéder aux entités SAML pour lesquelles l' | ||
- | |||
- | * **Cas d'un utilisateur “contact fédération”** : il pourra voir et accéder à l' | ||
- | |||
- | == Transmission de notifications ou d' | ||
- | |||
- | Les adresses mail de contact sont également utilisées pour **établir un canal de communication fiable entre RENATER et des personnes physiques identifiées au sein des différents établissements de la communauté E-R**, afin de transmettre des notifications (ex: envoi d'une demande de validation au contact fédération) ou des informations à caractère technique le cas échéant (informations de problèmes techniques, d' | ||
- | |||
- | <note warning> | ||
- | |||
- | |||
- | \\ | ||
- | ===== 5. Principales opérations ===== | ||
- | |||
- | ==== 5.1 Déclarer une nouvelle entité SAML ==== | ||
- | |||
- | **1.** **Un utilisateur de la communauté E-R** souhaitant déclarer une nouvelle entité SAML se connecte au guichet via son IDP d' | ||
- | |||
- | **2.** Une fois authentifié sur le guichet, il clique sur " | ||
- | |||
- | {{: | ||
- | |||
- | **3.** Il complète alors les principaux onglets du formulaire et soumet la demande de création : | ||
- | * **Pour un IDP**: {{: | ||
- | * **Pour un SP**: {{: | ||
- | |||
- | < | ||
- | |||
- | **4.** Si l' | ||
- | |||
- | <note warning> | ||
- | |||
- | **5.** Le contact fédération valide le rattachement depuis le guichet : \\ \\ | ||
- | {{: | ||
- | |||
- | **6.** Suite à la validation du contact fédération, | ||
- | |||
- | Une fois le rattachement validé par le contact fédération, | ||
- | |||
- | |||
- | ==== 5.2 Inscrire une entité SAML dans une fédération ==== | ||
- | |||
- | **1.** Après s' | ||
- | |||
- | {{: | ||
- | |||
- | |||
- | **2.** Chaque colonne à droite correspond à une fédération. En cliquant sur l'un des ronds noirs, il est renvoyé vers l' | ||
- | |||
- | {{: | ||
- | |||
- | **3.** Il peut alors demander l' | ||
- | |||
- | **4.** **S'il s'agit d'une inscription dans une fédération de production**, | ||
- | |||
- | **5.** Le contact fédération valide l' | ||
- | |||
- | {{: | ||
- | |||
- | **6.** Suite à la validation du contact fédération, | ||
- | |||
- | |||
- | ==== 5.3 Mettre à jour les informations d'une entité SAML ==== | ||
- | |||
- | **1.** Après s' | ||
- | | ||
- | {{: | ||
- | |||
- | **2.** Il effectue les modifications nécessaires et soumet la demande de mise à jour. A noter que pour chaque mise à jour d'une entité SAML, un commentaire résumant les modifications effectuées est obligatoirement requis avant la soumission du formulaire : | ||
- | |||
- | {{: | ||
- | |||
- | **3.** **Si l' | ||
- | |||
- | **4.** Le contact fédération valide la mise à jour des informations sensibles pour cette entité SAML depuis le guichet : | ||
- | |||
- | {{: | ||
- | |||
- | **5.** Suite à la validation du contact fédération, | ||
- | |||
- | **6.** Les modifications soumises sur le guichet sont ensuite appliquées dans les métadonnées de chaque fédération souscrite. | ||
- | |||
- | <note important> | ||
- | |||
- | |||
- | \\ | ||
- | |||
- | ===== 6. FAQ ===== | ||
- | |||
- | <hidden ** Accès au guichet ** (cliquez pour déplier) > | ||
- | |||
- | <hidden //**# Je ne peux pas accéder au guichet en me connectant via mon IDP d’établissement **// (cliquez pour déplier) > | ||
- | Votre IDP d’établissement ne fournit probablement pas au guichet l’attribut utilisateur « **mail** » requis. | ||
- | \\ \\ Vous pouvez vous en assurer en vous connectant à la ressource de validation offerte par RENATER (https:// | ||
- | \\ \\ **Vous devez adapter la configuration de votre IDP** (fichier de configuration // | ||
- | </ | ||
- | |||
- | <hidden //**# Je n’arrive plus à accéder au guichet avec mon compte CRU alors que cela était possible auparavant**// | ||
- | Une fois votre compte CRU créé, vous pouvez le conserver indéfiniment. \\ Toutefois, **au bout d'une période d' | ||
- | \\ Dans ce cas, vous pouvez, si nécessaire, | ||
- | </ | ||
- | |||
- | <hidden //**# Mon établissement apparaît dans la liste du service de découverte (https:// | ||
- | Non, vous n'en avez plus besoin. \\ Si votre établissement apparaît dans la liste du service de découverte (https:// | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | \\ | ||
- | |||
- | <hidden ** Visibilité des entités SAML sur le guichet ** (cliquez pour déplier) > | ||
- | |||
- | <hidden //**# J' | ||
- | La visibilité des entités SAML sur le guichet pour un utilisateur authentifié **est déduite de l' | ||
- | * **Cas d'un utilisateur " | ||
- | |||
- | * **Cas d'un utilisateur " | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | \\ | ||
- | |||
- | <hidden ** Rattachement d'une entité SAML à un organisme ** (cliquez pour déplier) > | ||
- | |||
- | <hidden //** # Je souhaite rattacher mon entité SAML à un organisme mais celui-ci n' | ||
- | Pour que votre organisme apparaisse dans la liste des organismes de rattachement proposés par le guichet, **vous devez avoir effectué l' | ||
- | \\ \\ Dans le cas où vous auriez effectué cette inscription administrative et que votre organisme n' | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | \\ | ||
- | |||
- | <hidden ** Inscription d'une entité SAML dans une fédération de production ** (cliquez pour déplier) > | ||
- | |||
- | <hidden //**# Je ne peux pas enregistrer mon entité SAML dans une fédération de production**// | ||
- | L' | ||
- | |||
- | Pour ce faire, vous devez sélectionner un organisme dans l' | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | \\ | ||
- | <hidden ** Mise à jour des informations de contact ** (cliquez pour déplier) > | ||
- | <hidden //** # Je souhaite mettre à jour l' | ||
- | * **Si vous êtes un organisme membre :** le référent de votre établissement doit faire la mise à jour directement au niveau du [[https:// | ||
- | |||
- | * **Si vous êtes un organisme partenaire :** veuillez contacter par mail **agrement@renater.fr**. | ||
- | </ | ||
- | |||
- | <hidden //** # Je souhaite mettre à jour l' | ||
- | La mise à jour d'une adresse mail de contact technique d'une entité SAML peut être effectuée ** via le guichet de la fédération** (page d' | ||
- | * soit par le contact fédération de l' | ||
- | * soit directement par un des contacts techniques de l' | ||
- | </ | ||
- | |||
- | |||
- | </ | ||
- | |||
- | \\ | ||
- | |||
- | <hidden ** Renouvellement du certificat SAML ** (cliquez pour déplier) > | ||
- | <hidden //** # Quelle est la procédure pour renouveler le certificat SAML de mon SP / IDP utilisé dans les métadonnées de la fédération ?**//> | ||
- | Le renouvellement du certificat SAML d'un SP ou d'un IDP est une **opération sensible**. | ||
- | \\ \\ Afin de réaliser cette opération sans interruption de service, veuillez suivre attentivement les instructions décrites dans la procédure fournie par RENATER : https:// | ||
- | \\ \\ Vous pouvez également consulter la documentation officielle Shibboleth : | ||
- | * Pour un IDP : https:// | ||
- | * Pour un SP : https:// | ||
- | </ | ||
- | </ | ||
- | |||
- | |||
- | \\ | ||
- | |||
- | <hidden ** Mise à jour des informations techniques d'une entité SAML ** (cliquez pour déplier) > | ||
- | <hidden //** # J'ai mis à jour les informations techniques de mon entité SAML sur le guichet mais je ne vois pas les modifications répercutées dans les métadonnées de mon IDP/SP. Est-ce normal ? **//> | ||
- | Oui c'est tout à fait normal si vos modifications **ne sont pas visibles immédiatement** dans les métadonnées. | ||
- | \\ \\ Lorsque vous soumettez des modifications depuis le guichet, il vous faut en effet tenir compte : | ||
- | - du délai de prise en compte de ces modifications dans la **version du fichier de métadonnées** que vous utilisez (**preview**, | ||
- | - de la **fréquence de rechargement des méta-données** configurée au niveau de chaque SP/IDP (RENATER recommandant une synchronisation toutes les heures). | ||
- | |||
- | Plus de détails sur cette page : https:// | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | \\ | ||
- | |||
- | <hidden ** Gestion du compte CRU ** (cliquez pour déplier) > | ||
- | |||
- | <hidden //** # Comment me créer un compte CRU ?**// (cliquez pour déplier) > | ||
- | Il n'y a **aucun pré-requis pour avoir un compte CRU**. Le service est ouvert à tous : | ||
- | * Allez sur le site de gestion des comptes CRU : https:// | ||
- | * Remplissez le formulaire de création de compte ; | ||
- | * Vous recevrez ensuite un courrier électronique ; | ||
- | * Cliquez sur le lien indiqué dans ce courrier pour confirmer la création de votre compte ; | ||
- | * Votre compte est activé et utilisable. Vous recevrez un second courrier électronique pour vous le confirmer. | ||
- | </ | ||
- | |||
- | <hidden //**# J'ai oublié le mot de passe associé à mon compte CRU, que faire ? **// (cliquez pour déplier) > | ||
- | * Allez sur le site de gestion des comptes CRU : https:// | ||
- | * Accéder à la rubrique **Mot de passe oublié ?** du menu gauche ; | ||
- | * Saisissez votre adresse de courrier électronique ; | ||
- | * Vous recevrez ensuite un courrier électronique vous permettant de définir un nouveau mot de passe. | ||
- | </ | ||
- | |||
- | <hidden //**# Comment changer le mot de passe de mon compte CRU ? **// (cliquez pour déplier) > | ||
- | * Allez sur le site de gestion des comptes CRU : https:// | ||
- | * Si vous n' | ||
- | * Accédez à la rubrique **Mon compte** du menu gauche ; | ||
- | * Définissez alors un nouveau mot de passe. | ||
- | </ | ||
- | |||
- | <hidden //**# Comment changer l' | ||
- | * Allez sur le site de gestion des comptes CRU : https:// | ||
- | * Si vous n' | ||
- | * Accédez à la rubrique **Mon compte** du menu gauche ; | ||
- | * Accédez à la page de modification de l' | ||
- | * Saisissez la nouvelle adresse email souhaitée ; | ||
- | * Un email est automatiquement envoyé à cette nouvelle adresse, suivez les instructions contenues dans cet mail pour finaliser votre changement d' | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | \\ | ||
- | |||
- | |||
- | |||
- | |||