Au cours la vie de votre instance Identitas, vous pouvez avoir besoin de mettre à jour le comportement de votre IDP. Par exemple :
Le processus de transmission des demandes est le suivant :
Cette section liste les informations à fournir systématiquement lors d'une demande, en fonction de son type.
La mise en place d'une relation bilatérale, consiste à ce qu'un service de votre établissement supportant SAML, délègue la phase d'authentification à votre IDP.
Avant de faire cette demande, il est préférable que la mise en place ait été testée préalablement avec l'IDP de Test RENATER. Cette étape permet notamment de vérifier la bonne utilisation par le service des attributs renvoyés par l'IDP, et nous évite de devoir tâtonner sur votre IDP, et ainsi devoir couper le service à plusieurs reprise.
La procédure est la suivante :
Une fois ok de votre côté vous pouvez effectuer votre demande, en nous fournissant les informations suivantes :
Bien que l'enregistrement de votre IDP dans une fédération locale peut être effectué par vos soins, via le guichet de le fédération, il faut tout de même opérer une modification sur la confguration de l'IDP.
Merci donc de nous indiquer dans quelle fédération locale vous souhaitez que votre IDP soit enregistré. Nous traiterons la demande, à condition que votre établissement soit bien autorisé à accéder à cette fédération locale.
Il est possible que vous ayez besoin d'ajouter/modifier un attribut qui ne soit pas dans la configuration standard d'Identitas (attribut défini hors de Supann/eduPerson/SCHAC).
Cela peut être un attribut :
Vous pouvez aussi avoir besoin qu'un attribut supplémentaire soit transmis à un service.
Dans ce cas, il faut nous indiquer :
Si un utilisateur rencontre un problème pour se connecter à un service, nous aurons besoin que vous - ou une personne de votre équipe de support informatique de proximité - constate que le problème semble provenir de l'IDP avant de nous solliciter.
En effet, il y a régulièrement des problèmes qui se situent au niveau du service, et pour lesquels nous ne pouvons rien faire. Dans ce cas, il vous faut contacter directement les administrateurs du service concerné. Les administrateurs des services enregistrés dans la Fédération Education-Rercherche sont tous consultables sur le guichet de le fédération.
Si vous pensez que le problème vient de l'IDP - ou si vous êtes perdus - vous pouvez alors envoyer une demande d'assistance, avec les informations suivantes :
Pour tout autre type de demande, soyez le plus précis possible. Si vous pensez qu'un point en direct avec vous est nécessaire, précisez-nous vos disponibilités afin que nous puissions vous proposer un créneau qui vous convienne
La gestion opérationnelle (demande initiale, puis renouvellement périodique) des certificats électroniques nécessaires à la sécurisation des flux vers l'IdP est assurée par nos soins. Cependant, dans le cas particulier d'un hébergement sous nom de domaine de l'établissement, plutôt que dans le domaine renater.fr, nous ne sommes pas autonomes pour obtenir ce certificat de la part d'une autorité de certification. Dans ce cas, deux procédures différentes sont disponibles.
Cette procédure est utilisable avec n'importe quelle autorité de certification, les interactions avec celle-ci étant laissées à la charge de l'établissement bénéficiaire. Nous recommandons cependant l'utilisation du service TCS, accessible à l'ensemble de la communauté Enseignement/Recherche: si vous bénéficiez déjà d'un des services offerts par le GIP RENATER, vous êtes également éligible à celui-ci.
Nous nous occupons de générer la clé privée, et la demande de certificat associée, et l'établissement se charge de faire valider celle-ci. La procédure est la suivante:
Nous n'avons pas de contrainte sur le format utilisé, mais le format PEM reste le plus simple à manipuler, et nous n'avons besoin que du certificat lui-même, pas de la chaine de confiance complète (dans le cas de TCS, ceci correspond à l'option “as certificat only, PEM encoded” parmi les choix proposés). En revanche, la procédure de validation ne doit pas demander d'action particulière de notre part, et la durée de validité minimale du certificat doit être au minimum d'un an.
Nous envoyons automatiquement une nouvelle demande de certificat un mois avant la date d'expiration du certificat courant.
Il est inutile d'initier la procédure de votre coté, et de nous envoyer un couple clé privée/certificat, toute clé ayant transité en dehors d'un canal sécurisé adapté étant considérée comme compromise et inutilisable.
Dans le cas particulier de l'autorité de certification Sectigo, accessible via le service TCS, il est également possible de mettre en place une délégation nous permettant d'effectuer nous-même directement les demandes de certificat. Dans ce cas de figure, la validation du certificat reste à la charge de l'établissement bénéficiaire, mais il n'y a plus aucun échange par mail, l'ensemble de la procédure utilisant les APIs du fournisseur.
La mise en place initiale est légèrement plus compliquée, mais le renouvellement annuel de l'ensemble des certificats de l'organisme est grandement facilité.
Votre instance Identitas dédiée peut nécessiter des mises à jour, et subir le cas échéant une interruption de service pour maintenance. Dans ce cas, les contacts connus seront prévenus directement afin de convenir avec eux d'un créneau pour effectuer l'opération.
En tant que contact de votre établissement pour le service Identitas, vous fvous êtes normalement inscrit dans la liste de diffusion identitas-idp-dedie@listes.renater.fr. Si ça n'était pas le cas, merci de nous le signaler via le portail d'assistance RENATER / rubrique Identitas. L'inscription à cette liste est automatique si vous êtes déclaré comme responsable de l'instance Identitas sur le guichet de la fédération.
En cas de problème, n'hésitez pas à nous contacter via le portail d'assistance RENATER / rubrique Identitas.
Lors de l'ouverture du service, un compte d'administration vous a été fourni, ainsi qu'une URL vous permettant d'accéder au portail d'administration de votre établissement.
L'URL est de la forme : https://idp-etablissement.renater.fr/mon-etablissement (`mon-etablissement` correspond au nom de votre établissement).
L'interface vous permet de :
Le manuel de l'administrateur d'établissement est disponible ici.
Conformément à la convention Identitas, l'établissement peut demander la résiliation du service à tout moment.
Pour cela, il convient de nous en informer par lettre recommandée avec avis de réception, à l'adresse suivante :
GIP RENATER Direction Utilisateur - Engagement & Accompagnement 1A Avenue de Belle Fontaine 35576 Cesson-Sévigné Cedex
La résiliation prend effet dans un délai de 6 mois à compter de la réception de cette demande de résiliation.
La résiliation du service dans Pass se fera par nos soins.