Voici une liste des logiciels avec soutien naturel en SAML2 (protocole employé par les fédérations multilatérales du milieu de la recherche et de l’éducation) recommandés pour les fournisseurs d’identités. Ces logiciels se caractérisent par les propriétés suivantes :
- collecte horaire des métadonnées, ce qui permet de garder ces dernières à jour et de prendre des mesures en conséquence;
- validation des métadonnées grâce aux clés de signature de la FCA, ce qui garantit l’intégrité du sceau de confiance;
- chargement de toutes les métadonnées complémentaires de la FCA pour une couverture adéquate des services;
- vérification du domaine des identifiants de l’entité, ce qui permet au participant, c’est-à-dire vous, de garder le contrôle sur le fournisseur d’identités de l’institution.
| État | Logiciel | Version recommandée | Notes sur la sécurité | Référence pour la configuration |
| Supporté | Shibboleth Identity Provider | V5 (la plus récente), V4.3.x (la plus récente pour les participants actuels, jusqu’au 1er septembre 2024) | Conseils sur la sécurité de la V5 (en anglais) Conseils sur la sécurité de la V4 (en anglais) | Aperçu de la V5 (en anglais) Aperçu de la V4 (en anglais) Métadonnées de la FCA |
| Supporté | ADFS Toolkit | Plus récente | Installation et mise à niveau (en anglais) | |
| Approuvé | SATOSA | Plus récente | Conseils sur la sécurité (en anglais) | Installation (en anglais) |
| Approuvé | SimpleSAMLphp | Plus récente | Conseil sur la sécurité de SSPHP (en anglais) | Documentation (en anglais) |
| Approuvé | Apereo CAS | Plus récente | Conseils sur la sécurité de CAS Apereo (en anglais) | Documentation (en anglais) |
Paramètres courants et URL de la FCA disponibles pour configurer les logiciels approuvés
Choisir un fournisseur d’identités
Quel fournisseur d’identités me conviendrait le mieux?
La FCA préconise Shibboleth Identity Provider (IdP) comme fournisseur d’identités pour les plateformes d’exploitation Windows ou Linux. Néanmoins, de nombreux autres facteurs doivent être pris en considération. C’est pourquoi diverses possibilités sont supportées.
L’organisation qui choisit un autre FI que Shibboleth devrait en examiner les fonctionnalités, car, différentes, celles-ci pourraient entraîner des coûts supplémentaires au niveau des opérations.
Quelle est la différence entre « supporté » et « approuvé »?
Supporté : les fournisseurs d’identités de cette catégorie sont ceux pour lesquels l’équipe de la FCA peut répondre directement à vos questions et apporter son aide à l’équipe de l’institution au niveau de leur utilisation ou de leur configuration. Habituellement, les fournisseurs des logiciels supportés sont les premiers à introduire les fonctionnalités indispensables aux fédérations R-E et l’équipe de la FCA les met à l’essai rapidement.
Non supporté : ces fournisseurs d’identités ont été évalués ou testés à un moment quelconque par l’équipe de la FCA, qui a vérifié s’ils épousent le modèle de confiance du milieu de la recherche et de l’éducation. Leurs fonctionnalités sont comparables à celles des fournisseurs d’identité « supportés », mais l’équipe de la FCA ne pourra vous aider qu’au mieux de ses capacités et vous devrez vous tourner vers la collectivité ou le fournisseur du logiciel pour obtenir une aide directe.
Puis-je utiliser mon fournisseur d’identités SAML2 ou de services d’infonuagique actuel?
Non. Pas directement, pas sans serveur mandataire.
Les connexions SAML bilatérales ou de point à point ne satisfont pas les exigences du modèle de confiance multilatéral de la collectivité R-E. C’est pourquoi vous devez recourir à un serveur mandataire.
Supportés ou pas, tous les logiciels autorisent l’usage de procurations dans une certaine mesure. Cependant, le FI Shibboleth est la seule solution de procuration que recommande et supporte la FCA.
Je ne peux pas me restreindre au SAML2 pour fournir les identités. Est-ce possible?
Oui.
Tous les fournisseurs d’identités supportés ou approuvés acceptent de nombreux protocoles. Pour l’instant cependant, le modèle de confiance multilatéral qu’utilise le milieu R-E ne repose que sur le protocole SAML2.
Et si je veux recourir à un service indépendant de fournisseur d’identités?
Vous pouvez recourir à une solution gérée et confier votre FI à un service indépendant comme Cirrus Identity ou Unicon.
Dans le cadre de son programme Catalyst, Internet2, l’organisation des É.‑U. partenaire de la FCA, a dressé une liste d’entreprises qui connaissent bien ou proposent des solutions de fournisseur d’identités. Les frais que facturent ces entreprises s’ajouteront à aux droits de participation versés à la FCA.
Si vous avez recouru à une solution gérée qui vous a donné satisfaction et souhaitez la recommander, signalez-le-nous en écrivant à tickets@canarie.ca.
Où puis trouver de la documentation pour la formation?
Notre partenaire américain, Internet2, a élaboré le programme de formation supérieure InCommon (en anglais) sur le fournisseur d’identités Shibboleth et d’autres technologies de gestion des identités et des accès (GIA).
Vous trouverez le guide d’installation de Shibboleth ici et ADFSToolkit v2 ici.
Vous envisagez une autre approche?
Nous sommes là pour vous prêter assistance. Contactez-nous à tickets@canarie.ca et il nous fera plaisir de vous aider à trouver la solution qui convient le mieux à votre organisation.