Accueil » Gestion des identités et des accès » Soutien technique » Instructions techniques pour utilisateurs d’eduGAIN

Instructions techniques pour utilisateurs d’eduGAIN

Q : J’aimerais me servir d’eduGAIN pour que mes utilisateurs aient accès aux ressources disponibles ailleurs dans le monde et proposer mon service à l’étranger.

Ceux qui adhèrent au service fédéré de gestion des identités (GesFI) ont également accès au service eduGAIN. En participant à eduGAIN, vous rendez votre fournisseur d’identités ou votre fournisseur de services visible aux fédérations d’identités du monde entier, qui peuvent alors y recourir, si bien que les milieux de la recherche et de l’éducation ont plus facilement accès à son contenu, à ses services et à ses ressources, partout sur le globe.


Deux étapes suffisent pour activer eduGAIN.

  1. Demandez à la Fédération canadienne d’accès (FCA) d’adhérer à eduGAIN.
  2. Configurez votre système pour autoriser eduGAIN.

Remarque : Le fournisseur d’identités qui participe à la GesFI est automatiquement ajouté à la liste d’eduGAIN. Les fournisseurs de services sont conviés à demander leur adhésion au service eduGAIN.

1. Demander à adhérer à eduGAIN

Tous ceux qui participent à la GesFI ont accès au service eduGAIN. Les fournisseurs d’identités qui optent pour la GesFI sont automatiquement ajoutés à la liste d’eduGAIN. Les fournisseurs de services sont conviés à demander leur adhésion au service eduGAIN.

1.1. Qui contacter?

  • Si l’institution participe à la GesFI mais ne figure pas dans la liste d’eduGAIN.
    • Envoyer une demande pour adhérer à eduGAIN à notre responsable des opérations, à tickets@canarie.ca.
      • Les demandes qui n’émanent pas du responsable technique autorisé devront être approuvées par la personne qui occupe ce poste, conformément à ce qui est indiqué dans nos dossiers.
      • Joindre les renseignements complémentaires relatifs à l’étape 1.2 à la demande.
  • Si l’institution ne participe pas à la GesFI, veuillez visiter la page canarie.ca/fr/identite/adhesion/ et soumettre une demande en ce sens.

1.2. Quoi indiquer?

Si vous débutez avec la GesFI, vérifiez d’abord que vos informations sont conformes au profil de diffusion d’eduGAIN ici : https://technical.edugain.org/doc/eduGAIN_metadata_profile.pdf
Ceux qui participent à la GesFI mais ne figurent pas sur la liste d’eduGAIN devraient examiner leurs métadonnées et s’assurer qu’ils nous ont bien fourni les éléments énumérés ci-dessous. Les données doivent absolument être offertes en anglais, même si elles existent dans d’autres langues.

Voici ce que la demande d’adhésion à eduGAIN doit inclure.

  • Renseignements officiels sur l’organisation :
    • OrganizationName (nom de l’organisation)
    • OrganizationDisplayName (nom de l’organisation affiché)
    • OrganizationURL (URL de l’organisation)
  • Renseignements utilisés dans les interfaces avec l’utilisateur, par exemple présentation de l’organisation à l’utilisateur :
    • DisplayName (nom affiché)
    • Brève description de l’organisation

2. Configurer le système pour autoriser eduGAIN

La FCA diffuse les métadonnées d’eduGAIN dans un agrégat distinct appelé « agrégat inter-fédération de la FCA ». Cet agrégat complète celui des métadonnées de production et a pour signature la même clé servant à vérifier tous les agrégats qui portent la signature de la FCA.

Les liens pour obtenir l’agrégat inter-fédération et la clé de signature sont les suivants :

Agrégat inter-fédération de la FCA (30 Mo) : caf-shib2ops.ca/CoreServices/caf_interfed_signed.xml

Clé signant l’agrégat : caf-shib2ops.ca/CoreServices/caf_metadata_verify.crt

Le fournisseur d’identités et le fournisseur de services annexeront ces éléments à leur configuration, en plus de l’agrégat de production de la FCA, sans quoi la configuration sera incomplète et ne pourra fonctionner avec eduGAIN.

2.1 Fournisseur d’identités

Les fournisseurs d’identités (IdP) qui utilisent Shibboleth 3.x ou une version ultérieure s’assureront que ce qui suit figure dans $idphome/conf/metadata-providers.xml, afin qu’il y ait chargement de l’agrégat inter-fédération. Ensuite, ils valideront la configuration en procédant à une vérification. Dans l’exemple ci-dessous, md-signer.crt sert de clé de signature à l’agrégat de production de la FCA :

<MetadataProvider id="URLMDCAFEdugain" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
                         metadataURL="https://caf-shib2ops.ca/CoreServices/caf_interfed_signed.xml"
                         backingFile="/opt/shibboleth-idp/metadata/caf_interfed_signed.xml"
             maxRefreshDelay="PT1H">
                 <MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata" requireSignedMetadata="true"
                            certificateFile="/opt/shibboleth-idp/credentials/md-signer.crt"/>
         </MetadataProvider>

L’exploitant du fournisseur d’identités portera la mémoire vive de sa machine virtuelle Java à au moins 2 Go s’il ne veut pas éprouver de difficultés.

Réinitialiser le serveur IdP pour activer les changements.

2.2 Fournisseur de services

Les fournisseurs de services qui utilisent Shibboleth 2.5 ou une version ultérieure ajouteront ce qui suit à /etc/shibboleth/shibboleth2.xml, avec l’agrégat de production de la FCA. Dans l’exemple ci-dessous, caf_metadat_verify.crt sert de clé de signature à l’agrégat de production de la FCA :

<MetadataProvider type="XML" uri="https://caf-shib2ops.ca/CoreServices/caf_interfed_signed.xml" backingFilePath="caf_interfed_metadata.xml" reloadInterval="3600">
            <MetadataFilter type="Signature"  certificate="caf_metadata_verify.crt"/>
</MetadataProvider>

Réinitialiser le Shibboleth Daemon (shibd) pour activer les changements. Notez que le chargement peut prendre une minute ou deux, le système devant analyser et vérifier 30 Mo de données.

C’est fait! 


Pour voir la liste des entités utilisant eduGAIN, visiter la page technical.edugain.org/entities