Accueil » Gestion des identités et des accès » Soutien technique » Instructions techniques pour la catégorie R&S

Instructions techniques pour la catégorie R&S

Comment respecter la catégorie R&S

Les participants de la FCA qui exploitent un IdP ou un SP, ou les deux, devraient suivre les étapes décrites ci-dessous pour accepter la catégorie R&S.

  • Soumettre une demande d’inscription à la catégorie d’entité R&S
  • Une fois que votre demande a été approuvée, veuillez suivre les instructions ci-dessous.

Fournisseurs d’identités

  1. L’équipe de la FCA ajoutera l’attribut de la catégorie d’entité R&S aux métadonnées de votre fournisseur d’identités GFI de la CFA. Un avis vous signalera quand la modification aura été apportée.
  2. Actualisez les filtres de diffusion de votre attribut IdP pour qu’ils reconnaissent les SP qui se conforment à la catégorie R&S et diffusez le lot d’attributs correspondant aux exigences applicables aux fournisseurs d’identités dans la spécification de la catégorie en question. Ceux qui utilisent la version 3.2.1 de l’IdP de Shibboleth ou une version ultérieure peuvent reprendre la configuration que voici.
<!-- REFEDS Research and Scholarship -->
<AttributeFilterPolicy id="CAF-IdPInstaller-releaseToRandS">
    <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
        attributeName="http://macedir.org/entity-category"
        attributeValue="http://refeds.org/category/research-and-scholarship" />

<AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="eduPersonTargetedID">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

<!-- note 'email' should match your attribute-resolver.xml attributeID field for friendly name 'mail'
 This rule permits 'mail', urn:oid:0.9.2342.19200300.100.1.3 to be populated -->
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

  <!-- Affiliation is optional but release is still "strongly recommended". -->
  <AttributeRule attributeID="eduPersonScopedAffiliation">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
</AttributeFilterPolicy>

Pour les versions antérieures de Shibboleth, on utilisera plutôt la configuration qui suit, qui reflète la manière légèrement différente dont le langage XML configure les fichiers :

<afp:AttributeFilterPolicy id="CAF-IdPInstaller-releaseToRandS">
    <afp:PolicyRequirementRule xsi:type="saml:AttributeRequesterEntityAttributeExactMatch"
        attributeName="http://macedir.org/entity-category"
        attributeValue="http://refeds.org/category/research-and-scholarship" />

<afp:AttributeRule attributeID="eduPersonPrincipalName">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="eduPersonTargetedID">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>

  <!-- note 'email' should match your attribute-resolver.xml attributeID field for friendly name 'mail'
 This rule permits 'mail', urn:oid:0.9.2342.19200300.100.1.3 to be populated -->

  <afp:AttributeRule attributeID="email">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>

  <afp:AttributeRule attributeID="displayName">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="givenName">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="surname">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>

  <!-- Affiliation is optional but release is still "strongly recommended". -->
  <afp:AttributeRule attributeID="eduPersonScopedAffiliation">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
</afp:AttributeFilterPolicy>

Testez votre IdP en suivant les instructions ci-dessous.

Fournisseurs de services

L’équipe de la FCA ajoutera l’attribut de la catégorie d’entité R&S aux métadonnées de votre fournisseur d’identités GFI de la FCA. Un avis vous signalera quand la modification aura été apportée afin que les tests puissent commencer.

Tests

Fournisseurs d’identités

Pour s’assurer que ses attributs sont diffusés comme ils devraient l’être, l’IdP visitera un fournisseur de services appartenant à la catégorie R&S. La FCA préconise le Wiki d’eduGAIN.

Fournisseurs de services

Pour tester sa configuration, le fournisseur de services identifiera un fournisseur d’identités qui accepte la catégorie R&S et une personne ou un compte au moyen duquel il pourra ouvrir une séance.

À la connexion, le fournisseur d’identités devrait diffuser le jeu d’attributs R&S requis au fournisseur de services, signe que le système est bien configuré. Les instructions ci-dessous indiquent comment effectuer un test avec un fournisseur de services utilisant Shibboleth.

Les fournisseurs de services qui n’utilisent pas Shibboleth peuvent recourir à une autre méthode pour s’assurer que leurs attributs sont diffusés correctement. En consultant le log une fois que la connexion a été établie, par exemple.

L’utilisation du Wiki d’eduGAIN permettra de s’assurer que l’Entity Category R&S fonctionne bien et que l’IdP est configuré comme le requiert eduGAIN.

En savoir plus sur eduGAIN.

Procédure

  1. Ouvrir une nouvelle fenêtre privée dans le navigateur et aller au site https://wiki.edugain.org. Cliquer « Login » au sommet de la page.

  1. Sur la page « Discovery », saisir le nom de l’IdP. Dans cet exemple, nous utiliserons l’IdP de CANARIE.

  1. Connectez-vous à votre organisation.

  1. Assurez-vous que la connexion a bien été établie (les informations correspondant à celles de l’organisation devraient avoir remplacé le bouton Login) :

  1. Une fois la séance ouverte, changez l’adresse dans la fenêtre du navigateur pour https://wiki.edugain.org/Shibboleth.sso/Session.

  1. Parcourez la section « Attributes » de la page obtenue pour vous assurer que ce sont bien les attributs définis dans la catégorie R&S qui y apparaissent.