Accueil » installation d’eduroam » Activer l’outil Configuration Assistant Tool d’eduroam (cat.eduroam.org)

Activer l’outil Configuration Assistant Tool d’eduroam (cat.eduroam.org)

Posted
on 6 December, 2017

Introduction

Le service qui aide les utilisateurs à configurer la sécurité sur eduroam s’appelle « Configuration Assistant Tool » (CAT en abrégé).

En vue du raccordement à eduroam, le contact technique principal de l’institution recevra une invitation qui lui donnera accès au site cat.eduroam.org. On trouvera des instructions techniques sur la façon de créer un profil CAT pour l’institution ici.

Si vous avez besoin d’aide pour la moindre raison que ce soit, n’hésitez pas à écrire à tickets@canarie.ca.

1. Envoyez un avis à tickets@canarie.ca signalant votre intérêt.

La demande peut être envoyée en tout temps ou lors de votre inscription à la FCA.

2. Transmettez les métadonnées à jour sur l’entité à la FCA afin qu’elles puissent être diffusées par eduGAIN.

Le descripteur d’entité doit être validé par eduGAIN à http://www.edugain.org/Metadata/

Les éléments à surveiller sont les suivants :

  • extensions MDRPI (la FCA les ajoutera, car elle doit enregistrer l’« instant de l’enregistrement », mais on en a besoin pour la validation. Vous les trouverez entre la balise <EntityDescriptor> et la balise <IDPSSODescriptor>) :
<Extensions>
< mdrpi:RegistrationInfo xmlns:mdrpi="urn:oasis:names:tc:SAML:metadata:rpi" registrationAuthority="http://www.canarie.ca" registrationInstant="2012-08-28T00:00:00Z">
< mdrpi:RegistrationPolicy xml:lang="en">
http://www.canarie.ca/templates/services/docs/CAF_join_en.pdf
< /mdrpi:RegistrationPolicy>
< /mdrpi:RegistrationInfo>
< /Extensions>
  • Entre IDPSSODescriptor et KeyDescriptor, vous trouverez les éléments MDUI qui doivent être peuplés avec l’information requise sur l’entité. À titre d’illustration, voici ceux de CANARIE.
<Extensions>
< shibmd:Scope xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" regexp="false">canarie.ca</shibmd:Scope>
< mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
< mdui:DisplayName xml:lang="en">CANARIE</mdui:DisplayName>
< mdui:DisplayName xml:lang="fr">CANARIE</mdui:DisplayName>
< mdui:Description xml:lang="en">Canadaâs Advanced Research and Innovation Network</mdui:Description>
< mdui:Description xml:lang="fr">
Le réseau évolué de recherche et d'innovation du Canada
< /mdui:Description>
< mdui:InformationURL xml:lang="en">http://www.canarie.ca/en/about/aboutus</mdui:InformationURL>
< mdui:InformationURL xml:lang="fr">http://www.canarie.ca/fr/a-propos/quinoussommes</mdui:InformationURL>
< /mdui:UIInfo>
< /Extensions>
  • Nous recommandons d’actualiser le bloc Organization avec des éléments en anglais et en français pour bien refléter le contexte bilingue. Des éléments dans d’autres langues peuvent s’y ajouter, mais ceux en anglais et en français constituent un strict minimum.
<Organization>
< OrganizationName xml:lang="en">CANARIE</OrganizationName>
< OrganizationName xml:lang="fr">CANARIE</OrganizationName>
< OrganizationDisplayName xml:lang="en">Canada's Advanced Research and Innovation Network</OrganizationDisplayName>
< OrganizationDisplayName xml:lang="fr">
Le réseau évolué de recherche et d'innovation du Canada
< /OrganizationDisplayName>
< OrganizationURL xml:lang="en">http://www.canarie.ca/en/about/aboutus</OrganizationURL>
< OrganizationURL xml:lang="fr">http://www.canarie.ca/fr/a-propos/quinoussommes</OrganizationURL>
< /Organization>

D’autres éléments améliorent la facilité avec laquelle l’IdP est détecté. Ainsi, vous pouvez y ajouter n’importe quelle partie de la spécification MDUI OASIS (lire http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-metadata-ui/v1.0/sstc-saml-metadata-ui-v1.0.html)

Une fois vos métadonnées validées, envoyez-les à tickets@canarie.ca pour une mise à jour et nous les diffuserons.

3. Configurez la confiance des métadonnées dans l’IdP

L’agrégat eduGAIN diffère de l’agrégat des métadonnées de la FCA. Vous pouvez l’ajouter à votre IdP immédiatement après l’entrée de la FCA dans relying-party.xml, ce qui devrait donner quelque chose comme ceci :

<metadata:MetadataProvider id="URLMD2" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
                         metadataURL="https://caf-shib2ops.ca/CoreServices/caf_interfed_signed.xml"
                         backingFile="/opt/shibboleth-idp/metadata/caf_interfed_signed.xml" cacheDuration="3600">
                 <metadata:MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
                 <metadata:MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata"
                                 trustEngineRef="federation-metadata-signer"
                                 requireSignedMetadata="true" />
                 </metadata:MetadataFilter>
         </metadata:MetadataProvider>

Les principaux éléments dans le bloc qui précède sont les suivants :

  • emplacement du fil inter-fédération : https://caf-shib2ops.ca/CoreServices/caf_interfed_signed.xml
  • validation de la signature de l’agrégat par l’usage de la clé de la FCA (dans l’exemple qui précède, le fichier est validé grâce au lien avec l’élément ‘federation-metadata-signer’ de relying-part.xml qui pointe vers le certificat public de la FCA :
<security:TrustEngine id="federation-metadata-signer" xsi:type="security:StaticExplicitKeySignature">
                 <security:Credential id="MyFederation1Credentials" xsi:type="security:X509Filesystem">
                         <security:Certificate>/opt/shibboleth-idp/credentials/md-signer.crt</security:Certificate>
                 </security:Credential>
         </security:TrustEngine>
  • une CacheDuration de 3 600 minutes ou 10 heures (l’agrégat de métadonnées eduGAIN de la FCA est produit la nuit, et sur demande occasionnellement)

Quand vous aurez ajouté ces métadonnées et relancé l’IdP, vos politiques commenceront à repérer les entités dont les attributs correspondent à ceux qui ont été diffusés.

4. Créez une politique pour la diffusion des attributs de cat.eduroam.org

Le fichier attribute-filter.xml doit inclure une telle politique pour que la connexion s’établisse :

<afp:AttributeFilterPolicy>
<afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://monitor.eduroam.org/sp/module.php/saml/sp/metadata.php/default-sp" />
<afp:AttributeRule attributeID="eduPersonPrincipalName">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="eduPersonTargetedID">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="cn">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="mail">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy>

5. Demandez qu’on vous délègue votre domaine pour utiliser l’outil CAT

Les administrateurs d’eduroam ont certains privilèges, notamment celui de configurer leur environnement dans le système CAT, aussi devrez-vous demander à y accéder. La demande d’accès devrait émaner de l’administrateur désigné, identifié dans les fichiers de CANARIE.

Dès que l’accès lui aura été accordé, l’administrateur désigné pourra attribuer des privilèges et nommer d’autres administrateurs, si besoin est, mais uniquement pour son domaine.

Envoyer une demande d’accès à tickets@canarie.ca. L’invitation sera relayée au contact technique pour eduroam mentionné dans les dossiers de CANARIE.

Il se peut que le contact technique pour FedSSO et celui pour eduroam ne soient pas les mêmes. Dans un tel cas, l’invitation sera relayée au contact d’eduroam.

Nous recommandons que les contacts de FedSSO et d’eduroam coordonnent leurs efforts pour éviter toute confusion.

6. Créez votre profil en vous connectant à cat.eduroam.org avec l’IdP

L’outil CAT utilise une série de valeurs par défaut pour les sites et les domaines d’eduroam. Il suffit de créer un profil en configurant les éléments requis.
Pour en savoir plus sur l’outil CAT d’eduroam et les possibilités de configuration, on lira : https://confluence.terena.org/display/H2eduroam/A+guide+to+eduroam+CAT+for+institution+administrators