Accueil » Gestion des identités et des accès » Soutien technique » Instructions techniques pour la catégorie R&S

Instructions techniques pour la catégorie R&S

Comment respecter la catégorie R&S

Les participants de la FCA qui exploitent un IdP ou un SP, ou les deux, devraient suivre les étapes décrites ci-dessous pour accepter la catégorie R&S.

Fournisseurs d’identités

  1. Examinez les exigences du fournisseur d’identité décrites dans la spécification de la catégorie R&S et confirmez que vous êtes disposé à les respecter.
  2. Envoyez un courriel à tickets@canarie.ca demandant qu’on ajoute l’attribut de la catégorie R&S aux métadonnées de votre entité IdP dans le FIM de la FCA. Celle-ci vous signalera quand les modifications auront été apportées.
  3. Actualisez les filtres de diffusion de votre attribut IdP pour qu’ils reconnaissent les SP qui se conforment à la catégorie R&S et diffusez le lot d’attributs correspondant aux exigences applicables aux fournisseurs d’identités dans la spécification de la catégorie en question. Ceux qui utilisent la version 3.2.1 de l’IdP de Shibboleth ou une version ultérieure peuvent reprendre la configuration que voici.
<!-- REFEDS Research and Scholarship -->
<AttributeFilterPolicy id="CAF-IdPInstaller-releaseToRandS">
    <PolicyRequirementRule xsi:type="EntityAttributeExactMatch"
        attributeName="http://macedir.org/entity-category"
        attributeValue="http://refeds.org/category/research-and-scholarship" />

<AttributeRule attributeID="eduPersonPrincipalName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="eduPersonTargetedID">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

<!-- note 'email' should match your attribute-resolver.xml attributeID field for friendly name 'mail'
 This rule permits 'mail', urn:oid:0.9.2342.19200300.100.1.3 to be populated -->
  <AttributeRule attributeID="email">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

  <AttributeRule attributeID="displayName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="givenName">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
  <AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>

  <!-- Affiliation is optional but release is still "strongly recommended". -->
  <AttributeRule attributeID="eduPersonScopedAffiliation">
    <PermitValueRule xsi:type="ANY" />
  </AttributeRule>
</AttributeFilterPolicy>

Pour les versions antérieures de Shibboleth, on utilisera plutôt la configuration qui suit, qui reflète la manière légèrement différente dont le langage XML configure les fichiers :

<afp:AttributeFilterPolicy id="CAF-IdPInstaller-releaseToRandS">
    <afp:PolicyRequirementRule xsi:type="saml:AttributeRequesterEntityAttributeExactMatch"
        attributeName="http://macedir.org/entity-category"
        attributeValue="http://refeds.org/category/research-and-scholarship" />

<afp:AttributeRule attributeID="eduPersonPrincipalName">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="eduPersonTargetedID">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>

  <!-- note 'email' should match your attribute-resolver.xml attributeID field for friendly name 'mail'
 This rule permits 'mail', urn:oid:0.9.2342.19200300.100.1.3 to be populated -->

  <afp:AttributeRule attributeID="email">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>

  <afp:AttributeRule attributeID="displayName">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="givenName">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
  <afp:AttributeRule attributeID="surname">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>

  <!-- Affiliation is optional but release is still "strongly recommended". -->
  <afp:AttributeRule attributeID="eduPersonScopedAffiliation">
    <afp:PermitValueRule xsi:type="basic:ANY" />
  </afp:AttributeRule>
</afp:AttributeFilterPolicy>

Testez votre IdP en suivant les instructions ci-dessous.

Fournisseurs de services

  1. Examinez les exigences du fournisseur de services décrites dans la spécification de la catégorie R&S et confirmez que vous êtes prêt à les respecter.
  2. Passez en revue votre service pour vous assurer qu’il respecte bien les exigences requises pour solliciter et utiliser le lot d’attributs R&S décrit dans la spécification de cette Entity Category.
  3. Demandez que votre SP soit enregistré comme service conforme à la catégorie R&S en remplissant le formulaire d’attestation R&S. Veuillez noter que si vous n’êtes pas le contact attitré de votre institution, inscrit à la FCA, un membre de l’équipe de la FCA communiquera avec la personne qui représente officiellement l’organisation pour obtenir confirmation que vous êtes bien autorisé à formuler pareille demande.
  4. Un membre de l’équipe de la FCA communiquera avec vous pour confirmer que les exigences de la catégorie R&S ont bien été respectées, auquel cas les tests pourront débuter.

Tests

Fournisseurs d’identités

Pour s’assurer que ses attributs sont diffusés comme ils devraient l’être, l’IdP visitera un fournisseur de services appartenant à la catégorie R&S. La FCA préconise le Wiki d’eduGAIN.

Fournisseurs de services

Pour tester sa configuration, le fournisseur de services identifiera un fournisseur d’identités qui accepte la catégorie R&S et une personne ou un compte au moyen duquel il pourra ouvrir une séance.

À la connexion, le fournisseur d’identités devrait diffuser le jeu d’attributs R&S requis au fournisseur de services, signe que le système est bien configuré. Les instructions ci-dessous indiquent comment effectuer un test avec un fournisseur de services utilisant Shibboleth.

Les fournisseurs de services qui n’utilisent pas Shibboleth peuvent recourir à une autre méthode pour s’assurer que leurs attributs sont diffusés correctement. En consultant le log une fois que la connexion a été établie, par exemple.

L’utilisation du Wiki d’eduGAIN permettra de s’assurer que l’Entity Category R&S fonctionne bien et que l’IdP est configuré comme le requiert eduGAIN.

En savoir plus sur eduGAIN.

Procédure

  1. Ouvrir une nouvelle fenêtre privée dans le navigateur et aller au site https://wiki.edugain.org. Cliquer « Login » au sommet de la page.

  1. Sur la page « Discovery », saisir le nom de l’IdP. Dans cet exemple, nous utiliserons l’IdP de CANARIE.

  1. Connectez-vous à votre organisation.

  1. Assurez-vous que la connexion a bien été établie (les informations correspondant à celles de l’organisation devraient avoir remplacé le bouton Login) :

  1. Une fois la séance ouverte, changez l’adresse dans la fenêtre du navigateur pour https://wiki.edugain.org/Shibboleth.sso/Session.

  1. Parcourez la section « Attributes » de la page obtenue pour vous assurer que ce sont bien les attributs définis dans la catégorie R&S qui y apparaissent.