Vie du service Identitas Dédié

Cette documentation s'adresse aux contacts d'établissement pour le service Identitas. Elle est également destinées aux personnes envisageant de souscrire au service pour leur établissement.

Gestion des demandes de modification

Au cours la vie de votre instance Identitas, vous pouvez avoir besoin de mettre à jour le comportement de votre IDP. Par exemple :

  • Ajout d'une relation bilatérale
  • Ajout d'une fédération locale
  • Délégation de l'authentification à un CAS
  • Changement de votre annuaire LDAP
  • etc…

Le processus de transmission des demandes est le suivant :

  • La demande doit être émise par un des contacts déclaré de l'IDP - qu'il s'agisse d'une demande de mise à jour ou une demande de support sur un problème rencontré
  • La demande doit être créée via le portail d'assistance RENATER
    • Cliquer sur « Assistance technique »
    • Cliquer sur « Je suis correspondant d’établissement »
    • Choisir le service « Identitas » dans la liste des services

Informations à fournir lors des demandes

Cette section liste les informations à fournir systématiquement lors d'une demande, en fonction de son type.

Mise en place d'une relation bilatérale

La mise en place d'une relation bilatérale, consiste à ce qu'un service de votre établissement supportant SAML, délègue la phase d'authentification à votre IDP.

Avant de faire cette demande, il est préférable que la mise en place ait été testée préalablement avec l'IDP de Test RENATER. Cette étape permet notamment de vérifier la bonne utilisation par le service des attributs renvoyés par l'IDP, et nous évite de devoir tatonner sur votre IDP - et ainsi devoir couper le service à plusieurs reprise. La procédure est la suivante : - Déclarer une instance de test du service dans la fédération de Test, en précisant bien les attributs requis - Configurer votre service pour qu'il fasse confiance uniquement à l'IDP de test - en lui faisant consommer ses méta-données, disponibles à l'URL https://test-idp.federation.renater.fr/idp/shibboleth

Une fois ok de votre côté vous pouvez effectuer votre demande, en nous fournissant les informations suivantes :

  • Nom et identifiant du service
  • Coordonnées de l'administrateur
  • Metadata du service (URL ou fichier XML)
  • Attributs requis par le service
  • Besoins spécifiques (format NameID, support du chiffrement des assertions SAML…)

Ajout d'une fédération

Bien que l'enregistrement de votre IDP dans une fédération locale peut être effectué par vos soins, via le guichet de le fédération, il faut tout de même opérer une modification sur la confguration de l'IDP.

Merci donc de nous indiquer dans quelle fédération locale vous souhaitez que votre IDP soit enregistré. Nous traiterons la demande, à condition que votre établissement soit bien autorisé à accéder à cette fédération locale.

Ajout d'un attribut

Ce type de demande concerne les établissements qui opèrent eux-même l'annuaire.

Il est possible que vous ayez besoin de modifier la définition d'un attribut ou la déclaration d'un nouvel attribut dans l'IDP :

  • résolu à partir de votre annuaire
  • construit en fonction de règles précises

Vous pouvez aussi avoir besoin qu'un attribut supplémentaire soit transmis à un service.

Dans ce cas, il faut nous indiquer :

  • Le nom de l'attribut
  • Le champ de l'annuaire contenant l'attribut
  • Dans le cas d'un attribut non standard, l'encodage SAML1/SAML2 à utiliser
  • Dans le cas d'un attribut à construire, les règles de gestion

Demande de réinitialistion de mot de passe administrateur

Ce type de demande ne concerne que les établissements pour lesquels RENATER héberge également un annuaire.

Problème de connexion à un service

Si un utilisateur rencontre un problème pour se connecter à un service, nous aurons besoin que vous - ou une personne de votre équipe de support informatique de proximité - constate que le problème semble provenir de l'IDP avant de nous solliciter.

En effet, il y a régulièrement des problèmes qui se situent au niveau du service, et pour lesquels nous ne pouvons rien faire. Dans ce cas, il vous faut contacter directement les administrateurs du service concerné. Les administrateurs des services enregistrés dans la Fédération Education-Rercherche sont tous consultables sur le guichet de le fédération.

Si vous pensez que le problème vient de l'IDP - ou si vous êtes perdus - vous pouvez alors envoyer une demande d'assistance, avec les informations suivantes :

  • Adresse du service
  • Login de l'utilisateur qui a le problème
  • Date/Heure et description du problème
  • Si le problème concerne un service RENATER, un copier/coller du contenu de la page d'erreur

Autre type de demande

Pour tout autre type de demande, soyez le plus précis possible. Si vous pensez qu'un point en direct avec vous est nécessaire, précisez-nous vos disponibilités afin que nous puissions vous proposer un créneau qui vous convienne

Gestion des certificat TLS

La gestion opérationnelle (demande initiale, puis renouvellement périodique) des certificats électroniques nécessaires à la sécurisation des flux vers l'IdP est assurée par nos soins.

Cependant, dans le cas particulier d'un hébergement sous nom de domaine de l'établissement, plutôt que dans le domaine renater.fr, nous ne sommes pas autonomes pour obtenir ce certificat de la part d'une autorité de confiance. Dans ce cas, nous nous occupons de générer la clé privée, et la demande de certificat associée, et l'établissement se charge de faire valider celle-ci. La procédure est la suivante:

  • nous transmettons une demande de certificat standard (format CSR) aux contacts techniques de l'établissement
  • ceux-ci se chargent de faire valider cette demande auprès de l'autorité de leur choix
  • ils nous transmettent le certificat validé en retour

Nous n'avons aucune contrainte particulière sur le choix de l'autorité de certificat, même si nous recommandons fortement l'utilisation du service TCS, accessible à l'ensemble de la communauté Enseignement/Recherche. En revanche, la procédure de validation ne doit pas demander d'action particulière de notre part, et la durée de validité minimale du certificat doit être au minimum d'un an.

Nous envoyons automatiquement une nouvelle demande de certificat un mois avant la date d'expiration du certificat courant.

Il est inutile d'initier la procédure de votre coté, et de nous envoyer un couple clé privée/certificat, toute clé ayant transité en dehors d'un canal sécurisé adapté étant considérée comme compromise et inutilisable.

Maintenances

Votre instance Identitas dédiée peut nécessiter des mises à jour, et subir le cas échéant une interruption de service pour maintenance. Dans ce cas, les contacts connus seront prévenus directement afin de convenir avec eux d'un créneau pour effectuer l'opération.

Communications globales

En tant que contact de votre établissement pour le service Identitas, vous fvous êtes normalement inscrit dans la liste de diffusion identitas-idp-dedie@listes.renater.fr. Si ça n'était pas le cas, merci de nous le signaler via le portail d'assistance RENATER / rubrique Identitas. L'inscription à cette liste est automatique si vous êtes déclaré comme responsable de l'instance Identitas sur le guichet de la fédération.

Support

En cas de problème, n'hésitez pas à nous contacter via le portail d'assistance RENATER / rubrique Identitas.

Particularités du service Identitas avec fourniture de l'annuaire par RENATER

Cette documentation s'adresse aux administrateurs d'un établissement au sein du service Identitas mutualisé - appelé également RENATER Connect. Elle est également destinées aux personnes envisageant de souscrire au service pour leur établissement.

Administration de votre établissement

Accès à l'interface

Lors de l'ouverture du service, un compte d'administration vous a été fourni, ainsi qu'une URL vous permettant d'accéder au portail d'administration de votre établissement.

L'URL est de la forme : https://idp-etablissement.renater.fr/mon-etablissement (`mon-etablissement` correspond au nom de votre établissement).

L'interface vous permet de :

  • Créer/Modifier/Supprimer des comptes
  • Réinitialiser le mot de passe d'un compte
Le compte d'administration est unique et doit n'être utilisé que par une seule personne. En cas de changement d'administrateur de l'établissement, merci d'en faire la demande via le portail d'assistance RENATER / rubrique Identitas.

Manuel de l'administrateur

Le manuel de l'administrateur d'établissement est disponible ici.