1.1 PRINCIPE<\/h4>\n\n\n\n
Lr principe de f\u00e9d\u00e9ration d\u2019identit\u00e9 est un concept qui vise \u00e0 mettre en place une centralisation des donn\u00e9es, et notamment des donn\u00e9es d\u2019identit\u00e9, au sein d\u2019un domaine informatique.<\/p>\n\n\n\n
Ainsi un utilisateur ne se connectera qu\u2019une unique fois par session aupr\u00e8s d\u2019une structure reconnue qui lui fournira la preuve de son identit\u00e9 (sous forme de jeton).<\/p>\n\n\n\n
L\u2019utilisateur le pr\u00e9sentera aux autres ressources qui souhaitent s\u2019assurer de son identit\u00e9, sans qu\u2019il n\u2019ait \u00e0 d\u00e9rouler une nouvelle proc\u00e9dure d\u2019authentification.<\/p>\n\n\n\n
Une seule authentification <\/strong>(dite primaire), donc un seul mot de passe, (plus facile donc de faire appliquer une politique de renouvellement et complexit\u00e9 sans se confronter aux utilisateurs r\u00e9calcitrants).<\/p>\n\n\n\n De plus, la f\u00e9d\u00e9ration d\u2019identit\u00e9 permet \u00e9galement de centraliser les donn\u00e9es d\u2019un utilisateur (comme son adresse mail de contact, un nom, une langue).<\/p>\n\n\n\n Ces donn\u00e9es seront appel\u00e9es attributs <\/strong>et la centralisation permettra notamment de pouvoir modifier ces donn\u00e9es plus facilement.<\/p>\n\n\n\n La f\u00e9d\u00e9ration d\u2019identit\u00e9 s\u2019appuie sur 4 acteurs :<\/p>\n\n\n\n Voici le d\u00e9roulement de l\u2019acc\u00e8s \u00e0 une ressource par un utilisateur via une f\u00e9d\u00e9ration d\u2019identit\u00e9s :<\/p>\n\n\n\n Remarque : <\/strong>les \u00e9tapes 3 et 5 ne sont pas vues par l\u2019utilisateur<\/p>\n\n\n\n La f\u00e9d\u00e9ration d\u2019identit\u00e9 utilise les redirections pour rendre les flux transparents pour l\u2019utilisateur.<\/p>\n\n\n\n Pour que la s\u00e9quence de ces flux fonctionne, il faut que l\u2019organisme jouant le r\u00f4le de fournisseur d\u2019identit\u00e9s installe un logiciel de f\u00e9d\u00e9ration d\u2019identit\u00e9s, appel\u00e9 identity provider <\/strong>(fournisseur d\u2019identit\u00e9s).<\/p>\n\n\n\n De m\u00eame pour le site jouant le r\u00f4le de ressource, qui doit installer un logiciel service provider <\/strong>en frontal de son application ; cette derni\u00e8re doit elle-m\u00eame \u00eatre rendue compatible avec ce logiciel.<\/p>\n\n\n\n Ces logiciels permettent le rediriger l\u2019utilisateur automatiquement entre la ressource et le fournisseur d\u2019identit\u00e9s, et g\u00e8re la transmission de la preuve d\u2019authentification et des informations sur l\u2019utilisateur.<\/p>\n\n\n\n Shibboleth <\/strong>est le logiciel de f\u00e9d\u00e9ration d\u2019identit\u00e9s le plus utilis\u00e9 dans la communaut\u00e9 enseignement sup\u00e9rieur et recherche.<\/p>\n\n\n\n L\u2019op\u00e9rateur de la f\u00e9d\u00e9ration maintient la liste des ressources et des fournisseurs d\u2019identit\u00e9s inscrits dans la f\u00e9d\u00e9ration ainsi que les informations techniques sur chacun.<\/p>\n\n\n\n Ces informations sont distribu\u00e9es publiquement sous forme du fichier de m\u00e9ta-donn\u00e9es (voir le fichier de m\u00e9ta-donn\u00e9es de la f\u00e9d\u00e9ration Education-Recherche) et permettent de faire fonctionner les briques logicielles les une avec les autres.<\/p>\n\n\n\n Lors de l\u2019acc\u00e8s \u00e0 une ressource de la f\u00e9d\u00e9ration, un utilisateur doit pouvoir indiquer l\u2019organisme qui est capable de l\u2019authentifier. A cet effet la ressource lui pr\u00e9sente un menu d\u00e9roulant (appel\u00e9 Where Are You From <\/strong>ou \u201dDiscovery Service\u201c) qui r\u00e9pertorie tous les fournisseurs d\u2019identit\u00e9s de la f\u00e9d\u00e9ration, ou dans certains cas le sous-ensemble de ces fournisseurs d\u2019identit\u00e9s qui permettent l\u2019acc\u00e8s \u00e0 cette ressource.<\/p>\n\n\n\n Le WAYF <\/strong>est donc la face visible de la f\u00e9d\u00e9ration pour les utilisateurs.<\/p>\n\n\n\n Shibboleth <\/strong>est une suite de logiciels d\u00e9velopp\u00e9e \u00e0 l\u2019origine par le consortium Internet2 et sous la responsabilit\u00e9 du consortium Shibboleth \u00e0 pr\u00e9sent. Cette suite fournit une solution compl\u00e8te de f\u00e9d\u00e9ration d\u2019identit\u00e9s. Le principe de la f\u00e9d\u00e9ration d\u2019identit\u00e9s est de d\u00e9l\u00e9guer l\u2019authentification web des utilisateurs \u00e0 un service d\u2019authentification dans l\u2019organisme d\u2019origine de l\u2019utilisateur.<\/p>\n\n\n\n Le protocole utilis\u00e9 est SAML 2<\/strong>, utilis\u00e9 \u00e9galement par d\u2019autres solutions logicielles de ce type.<\/p>\n\n\n\n Les trois briques Shibboleth sont le fournisseur de services, le fournisseur d\u2019identit\u00e9s et le service de d\u00e9couverte (ou DS\/WAYF).<\/p>\n\n\n\n Le fournisseur de services est un module d\u2019authentification pour le serveur Web. Il permet de :<\/p>\n\n\n\n Le fournisseur d\u2019identit\u00e9s est une application Java (servlet) ; il permet de g\u00e9rer l\u2019authentification des utilisateurs, en r\u00e9ponse \u00e0 la requ\u00eate d\u2019un fournisseur de services. L\u2019authentification peut \u00eatre d\u00e9l\u00e9gu\u00e9e \u00e0 un serveur SSO-CAS (Central Authentication Service) : l\u2019authentification se fait par login\/mot de passe ou certificat \u00e9lectronique ou encore propose les deux ; les attributs de l\u2019utilisateur sont extraits d\u2019un annuaire (AD ou LDAP), d\u2019une base SQL ou bien calcul\u00e9s, puis propag\u00e9s au fournisseur de services.<\/p>\n\n\n\n Le service de d\u00e9couverte (DS) permet \u00e0 un utilisateur de s\u00e9lectionner son organisme de rattachement, c\u2019est-\u00e0-dire celui aupr\u00e8s duquel il pourra s\u2019authentifier.<\/p>\n\n\n\n Le service de d\u00e9couverte propose un menu d\u00e9roulant \u00e0 l\u2019utilisateur avec la liste des fournisseurs d\u2019identit\u00e9s reconnus.<\/p>\n\n\n\n RENATER g\u00e8re plusieurs cercles de confiance et publie un ou plusieurs fichiers de m\u00e9ta-donn\u00e9es pour chacune de ces f\u00e9d\u00e9rations :<\/p>\n\n\n\n Les fichiers de m\u00e9ta-donn\u00e9es font l\u2019objet d\u2019un processus de mise \u00e0 jour automatique, \u00e0 partir des donn\u00e9es saisies dans le guichet f\u00e9d\u00e9ration. Ce processus prend en charge la validation du format des m\u00e9ta-donn\u00e9es, l\u2019agr\u00e9gation \u00e9ventuelle (cas de eduGAIN) et la signature XML des fichiers de m\u00e9ta-donn\u00e9es.<\/p>\n\n\n\n Les mises \u00e0 jour sont publi\u00e9es \u00e0 des fr\u00e9quences diff\u00e9rentes selon la version du fichier utilis\u00e9e, voir la description des versions de m\u00e9ta-donn\u00e9es ci-apr\u00e8s.<\/p>\n\n\n\n Les m\u00e9ta-donn\u00e9es SAML publi\u00e9es ont une dur\u00e9e de validit\u00e9 de 9 jours. Apr\u00e8s cette \u00e9ch\u00e9ance votre IdP\/SP ne sera vraisemblablement plus capable d\u2019utiliser une copie locale d\u2019un fichier de m\u00e9ta-donn\u00e9es.<\/p>\n\n\n\n Les m\u00e9ta-donn\u00e9es sont construites \u00e0 partir des informations techniques fournies par les administrateurs des IdP\/SP via le guichet f\u00e9d\u00e9ration. L\u2019enregistrement d\u2019un SP\/IdP dans une f\u00e9d\u00e9ration de production ainsi que la modification de certaines informations techniques sont soumis \u00e0 validation par les contacts f\u00e9d\u00e9ration d\u00e9sign\u00e9s par l\u2019organisme (membre ou partenaire) dont vous d\u00e9pendez.<\/p>\n\n\n\n Dans Shibboleth, nous configurons la v\u00e9rification de la signature XML des nouveaux fichiers de m\u00e9ta-donn\u00e9es.<\/p>\n\n\n\n Ce certificat disponible sur :<\/p>\n\n\n\n1.2 FONCTIONNEMENT<\/h4>\n\n\n\n
1.2.1 ACTEURS<\/h5>\n\n\n\n
1.2.2 FLUX<\/h5>\n\n\n\n
Il clique sur le lien \u201cMe connecter\u201d, un nouvelle page s\u2019affiche et il choisit dans cette nouvelle page son organisme de rattachement.<\/li>![\"PIC\"\/](\"http:\/\/cv.geniaut.fr\/Paris8\/wikiP8\/webdsi.univ-paris8.fr\/site\/Systeme\/Idp\/Images\/flux.png\")
<\/figure>\n\n\n\n1.2.3 LOGICIELS<\/h5>\n\n\n\n
1.2.4 META-DONNEES : WAYF<\/h5>\n\n\n\n
2 SHIBBOLETH<\/h3>\n\n\n\n
2.1 GESTION DES META DONNEES<\/h4>\n\n\n\n
2.1.1\u00a0CERTIFICAT<\/h5>\n\n\n\n