Vie du service Identitas Dédié
1. Gestion des demandes de modification
Au cours la vie de votre instance Identitas, vous pouvez avoir besoin de mettre à jour le comportement de votre IDP. Par exemple :
- Ajout d'une relation bilatérale
- Ajout d'une fédération locale
- Délégation de l'authentification à un CAS
- Changement de votre annuaire LDAP
- etc…
Le processus de transmission des demandes est le suivant :
- La demande doit être émise par un des contacts déclaré de l'IDP - qu'il s'agisse d'une demande de mise à jour ou une demande de support sur un problème rencontré
- La demande doit être créée via le portail d'assistance RENATER
- Cliquer sur « Assistance technique »
- Cliquer sur « Je suis correspondant d’établissement »
- Choisir le service « Identitas » dans la liste des services
2. Informations à fournir lors des demandes
Cette section liste les informations à fournir systématiquement lors d'une demande, en fonction de son type.
2.1 Mise en place d'une relation bilatérale
La mise en place d'une relation bilatérale, consiste à ce qu'un service de votre établissement supportant SAML, délègue la phase d'authentification à votre IDP.
Avant de faire cette demande, il est préférable que la mise en place ait été testée préalablement avec l'IDP de Test RENATER.
Cette étape permet notamment de vérifier la bonne utilisation par le service des attributs renvoyés par l'IDP, ce qui nous évite de devoir tâtonner par la suite sur votre IDP, et ainsi devoir potentiellement couper le service à plusieurs reprises.
La procédure est la suivante :
- Via le guichet de la fédération, déclarer une instance de test du service dans la fédération de Test, en précisant bien les attributs requis ;
- Configurer votre service pour qu'il fasse confiance uniquement à l'IDP de test, en lui faisant consommer ses méta-données, disponibles à l'URL suivante: https://test-idp.federation.renater.fr/idp/shibboleth
- Tester et valider la connexion via SAML (à l'aide des comptes de test disponibles) et la bonne réception des attributs par le service.
Une fois ok de votre côté vous pouvez effectuer votre demande, en nous fournissant les informations suivantes :
- Nom et identifiant du service
- Coordonnées de l'administrateur
- Metadata du service (URL ou fichier XML)
- Attributs requis par le service
- Besoins spécifiques (format NameID, support du chiffrement des assertions SAML…)
2.2 Ajout d'une fédération
Bien que l'enregistrement de votre IDP dans une fédération locale peut être effectué par vos soins, via le guichet de le fédération, il faut tout de même opérer une modification sur la confguration de l'IDP.
Merci donc de nous indiquer dans quelle fédération locale vous souhaitez que votre IDP soit enregistré. Nous traiterons la demande, à condition que votre établissement soit bien autorisé à accéder à cette fédération locale.
2.3 Ajout d'un attribut spécifique
Par exemple, l'attribut SAML mail correspondra toujours à l'attribut LDAP mail.
Il n'est pas possible de demander à utiliser un autre attribut de l'annuaire LDAP dans ce cas là.
Il est possible que vous ayez besoin d'ajouter/modifier un attribut qui ne soit pas dans la configuration standard d'Identitas (attribut défini hors de Supann/eduPerson/SCHAC).
Cela peut être un attribut :
- résolu à partir de votre annuaire
- construit en fonction de règles précises
Vous pouvez aussi avoir besoin qu'un attribut supplémentaire soit transmis à un service.
Dans ce cas, il faut nous indiquer :
- Le nom de l'attribut
- Le champ de l'annuaire contenant l'attribut
- Dans le cas d'un attribut non standard, l'encodage SAML1/SAML2 à utiliser
- Dans le cas d'un attribut à construire, les règles de gestion
2.4 Demande de réinitialistion de mot de passe administrateur
2.5 Problème de connexion à un service
Si un utilisateur rencontre un problème pour se connecter à un service, nous aurons besoin que vous - ou une personne de votre équipe de support informatique de proximité - constate que le problème semble provenir de l'IDP avant de nous solliciter.
En effet, il y a régulièrement des problèmes qui se situent au niveau du service, et pour lesquels nous ne pouvons rien faire. Dans ce cas, il vous faut contacter directement les administrateurs du service concerné. Les administrateurs des services enregistrés dans la Fédération Education-Rercherche sont tous consultables sur le guichet de le fédération.
Si vous pensez que le problème vient de l'IDP - ou si vous êtes perdus - vous pouvez alors envoyer une demande d'assistance, avec les informations suivantes :
- Adresse du service
- Login de l'utilisateur qui a le problème
- Date/Heure et description du problème
- Si le problème concerne un service RENATER, un copier/coller du contenu de la page d'erreur
2.6 Autre type de demande
Pour tout autre type de demande, soyez le plus précis possible. Si vous pensez qu'un point en direct avec vous est nécessaire, précisez-nous vos disponibilités afin que nous puissions vous proposer un créneau qui vous convienne
3. Gestion des certificat TLS
La gestion opérationnelle (demande initiale, puis renouvellement périodique) des certificats électroniques nécessaires à la sécurisation des flux vers l'IdP est assurée par nos soins. Cependant, dans le cas particulier d'un hébergement sous nom de domaine de l'établissement, plutôt que dans le domaine renater.fr, nous ne sommes pas autonomes pour obtenir ce certificat de la part d'une autorité de certification. Dans ce cas, deux procédures différentes sont disponibles.
3.1 Procédure manuelle
Cette procédure est utilisable avec n'importe quelle autorité de certification, les interactions avec celle-ci étant laissées à la charge de l'établissement bénéficiaire. Nous recommandons cependant l'utilisation du service TCS, accessible à l'ensemble de la communauté Enseignement/Recherche: si vous bénéficiez déjà d'un des services offerts par le GIP RENATER, vous êtes également éligible à celui-ci.
Nous nous occupons de générer la clé privée, et la demande de certificat associée, et l'établissement se charge de faire valider celle-ci. La procédure est la suivante:
- nous transmettons une demande de certificat standard aux contacts techniques de l'établissement, par mail
- ceux-ci se chargent de faire valider cette demande auprès de l'autorité de leur choix
- ils nous transmettent le certificat validé en retour
Nous n'avons pas de contrainte sur le format utilisé, mais le format PEM reste le plus simple à manipuler, et nous n'avons besoin que du certificat lui-même, pas de la chaine de confiance complète (dans le cas de TCS, ceci correspond à l'option “as certificat only, PEM encoded” parmi les choix proposés). En revanche, la procédure de validation ne doit pas demander d'action particulière de notre part, et la durée de validité minimale du certificat doit être au minimum d'un an.
Nous envoyons automatiquement une nouvelle demande de certificat un mois avant la date d'expiration du certificat courant.
Il est inutile d'initier la procédure de votre coté, et de nous envoyer un couple clé privée/certificat, toute clé ayant transité en dehors d'un canal sécurisé adapté étant considérée comme compromise et inutilisable.
3.2 Procédure automatisée
Dans le cas particulier de l'autorité de certification Sectigo, accessible via le service TCS, il est également possible de mettre en place une délégation nous permettant d'effectuer nous-même directement les demandes de certificat. Dans ce cas de figure, la validation du certificat reste à la charge de l'établissement bénéficiaire, mais il n'y a plus aucun échange par mail, l'ensemble de la procédure utilisant les APIs du fournisseur. La mise en place initiale est légèrement plus compliquée, mais le renouvellement annuel de l'ensemble des certificats de l'organisme est grandement facilité.
La procédure est documentée ici.
4. Maintenances
Votre instance Identitas dédiée peut nécessiter des mises à jour, et subir le cas échéant une interruption de service pour maintenance. Dans ce cas, les contacts connus seront prévenus directement afin de convenir avec eux d'un créneau pour effectuer l'opération.
5. Communications globales
En tant que contact de votre établissement pour le service Identitas, vous fvous êtes normalement inscrit dans la liste de diffusion identitas-idp-dedie@listes.renater.fr. Si ça n'était pas le cas, merci de nous le signaler via le portail d'assistance RENATER / rubrique Identitas. L'inscription à cette liste est automatique si vous êtes déclaré comme responsable de l'instance Identitas sur le guichet de la fédération.
6. Support
En cas de problème, n'hésitez pas à nous contacter via le portail d'assistance RENATER / rubrique Identitas.
7. Particularités du service Identitas avec fourniture de l'annuaire par RENATER
7.1 Administration de votre établissement
7.1.1 Accès à l'interface
Lors de l'ouverture du service, un compte d'administration vous a été fourni, ainsi qu'une URL vous permettant d'accéder au portail d'administration de votre établissement.
L'URL est de la forme : https://idp-etablissement.renater.fr/mon-etablissement (`mon-etablissement` correspond au nom de votre établissement).
L'interface vous permet de :
- Créer/Modifier/Supprimer des comptes
- Réinitialiser le mot de passe d'un compte
7.1.2 Manuel de l'administrateur
Le manuel de l'administrateur d'établissement est disponible ici.
8. Résiliation du service par l'établissement
Conformément à la convention Identitas, l'établissement peut demander la résiliation du service à tout moment.
Pour cela, il convient de nous en informer par lettre recommandée avec avis de réception, à l'adresse suivante :
GIP RENATER Direction Utilisateur - Engagement & Accompagnement 1A Avenue de Belle Fontaine 35576 Cesson-Sévigné Cedex
La résiliation prend effet dans un délai de 6 mois à compter de la réception de cette demande de résiliation.
La résiliation du service dans Pass se fera par nos soins.