Accueil / Gestion des identités et des accès / Soutien technique – Gestion des identités et des accès / Instructions techniques pour la catégorie R&S

Instructions techniques pour la catégorie Research and Scholarship (R&S)

Comment respecter la catégorie R&S

Les participants de la FCA qui exploitent un IdP ou un SP, ou les deux, devraient suivre les étapes décrites ci-dessous pour accepter la catégorie R&S.

Soumettre une demande d’inscription à la catégorie d’entité R&S
Une fois que votre demande a été approuvée, veuillez suivre les instructions ci-dessous.

Fournisseurs d’identités

L’équipe de la FCA ajoutera l’attribut de la catégorie d’entité R&S aux métadonnées de votre fournisseur d’identités GFI de la CFA. Un avis vous signalera quand la modification aura été apportée.
Actualisez les filtres de diffusion de votre attribut IdP pour qu’ils reconnaissent les SP qui se conforment à la catégorie R&S et diffusez le lot d’attributs correspondant aux exigences applicables aux fournisseurs d’identités dans la spécification de la catégorie en question. Ceux qui utilisent la version 4.x de l’IdP de Shibboleth ou une version ultérieure peuvent reprendre la configuration que voici.

<!-- REFEDS Research and Scholarship -->
<AttributeFilterPolicy id="CAF-releaseRandSAttributeBundle">
    <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
        attributeName="http://macedir.org/entity-category"
        attributeValue="http://refeds.org/category/research-and-scholarship" />


<AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="eduPersonTargetedID">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>


<!-- note 'mail' should match your attribute-resolver.xml attributeID field for friendly name 'mail'
 This rule permits 'mail', urn:oid:0.9.2342.19200300.100.1.3 to be populated -->
  <AttributeRule attributeID="mail">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>


  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="sn">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>


  <!-- Affiliation is optional but release is still "strongly recommended". -->
  <AttributeRule attributeID="eduPersonScopedAffiliation">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>


</AttributeFilterPolicy>

Pour les versions de Shibboleth antérieures à la version 4.x, mais postérieures à la version 3.2.1 et postérieures à la version 3.2.1, il convient d’utiliser la configuration suivante, qui reflète la manière légèrement différente dont le langage XML configure :

<!-- REFEDS Research and Scholarship -->
<AttributeFilterPolicy id="CAF-IdPInstaller-releaseToRandS">
    <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
        attributeName="http://macedir.org/entity-category"
        attributeValue="http://refeds.org/category/research-and-scholarship" />

<AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="eduPersonTargetedID">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

<!-- note 'email' should match your attribute-resolver.xml attributeID field for friendly name 'mail'
 This rule permits 'mail', urn:oid:0.9.2342.19200300.100.1.3 to be populated -->
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

  <!-- Affiliation is optional but release is still "strongly recommended". -->
  <AttributeRule attributeID="eduPersonScopedAffiliation">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

</AttributeFilterPolicy>

Testez votre IdP en suivant les instructions ci-dessous.

Fournisseurs de services

L’équipe de la FCA ajoutera l’attribut de la catégorie d’entité R&S aux métadonnées de votre fournisseur d’identités GFI de la FCA. Un avis vous signalera quand la modification aura été apportée afin que les tests puissent commencer.

Tests

Fournisseurs d’identités

Pour s’assurer que ses attributs sont diffusés comme ils devraient l’être, l’IdP visitera un fournisseur de services appartenant à la catégorie R&S. La FCA préconise le page eduGAIN Attribute Release Check.

Fournisseurs de services

Pour tester sa configuration, le fournisseur de services identifiera un fournisseur d’identités qui accepte la catégorie R&S et une personne ou un compte au moyen duquel il pourra ouvrir une séance.

À la connexion, le fournisseur d’identités devrait diffuser le jeu d’attributs R&S requis au fournisseur de services, signe que le système est bien configuré. Les instructions ci-dessous indiquent comment effectuer un test avec un fournisseur de services utilisant Shibboleth.

Les fournisseurs de services qui n’utilisent pas Shibboleth peuvent recourir à une autre méthode pour s’assurer que leurs attributs sont diffusés correctement. En consultant le log une fois que la connexion a été établie, par exemple.

L’utilisation du eduGAIN Attribute Release Check permettra de s’assurer que l’Entity Category R&S fonctionne bien et que l’IdP est configuré comme le requiert eduGAIN.

En savoir plus sur eduGAIN

Procédure

Ouvrir une nouvelle fenêtre privée dans le navigateur et aller au site release-check.edugain.org Cliquer « Login » au sommet de la page.

2. Sur la page « Discovery », saisir le nom de l’IdP. Dans cet exemple, nous utiliserons l’IdP de CANARIE.

3. Connectez-vous à votre organisation.

4. Sur la page des résultats du test, assurez-vous d’avoir obtenu un Verdict A- ou mieux dans la case REFEDS R&S Test (encerclée de rouge).

5. Cliquez « Details: show » pour confirmer les attributs reçus.