Belnet R&E Federation - Technical FAQ

À propos de la fédération

Qu’est-ce qu’une fédération ?
Quels sont les avantages d’une fédération ?
Qu'est-ce que la Belnet R&E Federation ?

À propos du cadre technique

Quel est le cadre technique ?
Quels sont les systèmes utilisés pour installer les logiciels de l’IdP ou du SP ?
Comment installer un IdP (Identity Provider) ?
Comment installer un SP (Service Provider) ?
Vous avez besoin de plus d’informations sur Shibboleth ?
Vous avez besoin de plus d’informations sur SAML2 ?
Vous avez besoin de plus d’informations sur les métadonnées et le service Discovery ?
Vous avez besoin de plus d’informations sur les attributs ?
Extensions : qu’est-ce que le MDUI ?
Vous avez besoin de plus d’informations techniques et de liens utiles ?

Qu’est-ce qu’une fédération ?

Une fédération est un ensemble d’organisations qui acceptent d’interagir sur la base d’un ensemble de règles. Généralement, une fédération définit les traits ainsi que la distribution des métadonnées qui représentent ces informations.

 

 

En général, chaque organisation qui participe à une fédération gère un fournisseur d’identité pour ses utilisateurs et un certain nombre de fournisseurs de services. Ainsi, les étudiants ou les membres du personnel peuvent accéder aux applications en ligne des organisations participantes grâce à un identifiant unique.

Quels sont les avantages d’une fédération ?

Sans fédération, les utilisateurs s’inscrivent auprès de chaque ressource à laquelle ils souhaitent accéder, obtenant généralement une nouvelle combinaison nom d’utilisateur/mot de passe, également appelée « identifiants ». Dans ce cas de figure, les utilisateurs et les administrateurs sont confrontés aux problèmes suivants :

  • Identifiants trop nombreux : les utilisateurs se voient attribuer un nom d’utilisateur et un mot de passe pour chaque ressource à laquelle ils souhaitent accéder.
  • Complexité de l’inscription des utilisateurs : chaque administrateur des ressources doit assurer lui-même l’inscription des utilisateurs.

Une fédération simplifie les processus pour toutes les parties concernées :

  • Simplification de l’inscription : les utilisateurs ne doivent s’inscrire qu’une seule fois au sein de leur organisation. Cet « organisation d’origine » est responsable des informations relatives aux utilisateurs et fournit des identifiants à ces derniers.
  • Simplification de l’administration : les identifiants uniques facilitent la rationalisation de l’administration au sein de l’organisation.
  • Authentification : l’organisation de l’utilisateur se charge de l’authentification et peut fournir à la ressource des informations supplémentaires sur l’utilisateur à la demande de celle-ci et moyennant l’accord de l’utilisateur.
  • Contrôle des accès : les décisions sont prises par la ressource sur la base des informations récupérées sur l’utilisateur.

Une fédération se fonde sur le principe selon lequel les ressources reposent sur l’authentification de l’utilisateur au sein de son organisme et obtiennent de ce dernier des informations sur l’utilisateur aux fins de ses décisions d’autorisation.

Qu'est-ce que la Belnet R&E Federation ?

La Belnet R&E Federation rassemble les établissements d’enseignement supérieur et de recherche connectés au réseau Belnet au sein d’une infrastructure commune afin de permettre aux étudiants et aux employés d’accéder à des services en ligne.

La Belnet R&E Federation offre un accès aisé et sécurisé à toute une série de services et de ressources. Un identifiant unique — celui de l'organisation d’origine — suffit pour accéder aux ressources internes (par exemple, le site web et le webmail) et externes (par exemple, les publications scientifiques et les services Belnet, notamment FileSender).

Quel est le cadre technique ?

Auparavant, la combinaison nom d’utilisateur/mot de passe des étudiants (leurs identifiants) n’était valable que sur les campus des universités ou hautes écoles. Avec l’avènement de la fédération d’identité, l’utilisation de ces identifiants peut être élargie au-delà de l’université. Cette technologie permet en effet d’utiliser des identifiants locaux pour des applications externes, mais aussi d’assurer la sécurité des processus et le respect des règles relatives à la protection de la vie privée.

Dans ce domaine, le « Service Provider » (SP) et le « Identity Provider » (IdP) sont des concepts essentiels. Cette séparation des fonctions n’est pas nécessaire au sein d’une même organisation. Le middleware Shibboleth est donc utilisé pour unir tous les éléments. Le standard SAML2, les métadonnées et le service discovery et les attributs sont les autres composantes essentielles de ce cadre technique.

Federation illustration


Vous trouverez plus d’informations sur chacun de ces éléments à travers les questions ci-dessous.

Quels sont les systèmes utilisés pour installer les logiciels de l’IdP ou du SP ?

Deux systèmes ont fait leurs preuves au sein des fédérations universitaires : Shibboleth et SimpleSAMLphp. Shibboleth utilise Java et Tomcat, tandis que SimpleSAMLphp est basé sur PHP.

Belnet a opté pour l’implémentation Shibboleth. Vous pouvez utiliser SimpleSAMLphp, mais nous ne pourrons vous aider que pour Shibboleth.

Comment installer un IdP (Identity Provider) ?

Les pages suivantes contiennent toutes les informations nécessaires pour la configuration de votre IdP :

IdP avec Shibboleth 3.1.2 sur Ubuntu Linux (à partir de la version 14.04 LTS)
IdP avec Shibboleth 2.4.4 sur Ubuntu Linux (à partir de la version 10.04 LTS)
Windows avec ADFS : ADFS 3.0 IdP pour windows2k12 au sein de la fédération Belnet
https://shib.kuleuven.be/docs/idp/2.x/install-idp-2.1-windows.html
• Windows : consultez également ce document utile de la KULeuven

Comment installer un SP (Service Provider) ?

Les pages suivantes contiennent toutes les informations nécessaires pour la configuration de votre SP :

Ubuntu Linux(voir le PDF sur l’installation d’un SP avec Shibboleth - Linux (Ubuntu))
• Windows (bientôt disponible)

Vous avez besoin de plus d’informations sur Shibboleth ?

Le réseau de recherche américain Internet2 a été un pionnier dans le domaine de la fédération d’identité. Il a mis au point son propre système, baptisé Shibboleth. Il s’agit d’un ensemble de composantes logicielles comprenant les fournisseurs d’identité Shibboleth et fournisseurs de service Shibboleth ainsi que d’autres composantes centrales permettant d’unir tous les éléments. Les composantes de Shibboleth sont disponibles sous une licence open-source.

Le développement de Shibboleth a permis de faire progresser la normalisation dans ce domaine : l’Oasis standard SAML2.

Vous avez besoin de plus d’informations sur SAML2 ?

Le protocole SAML (Security Assertion Markup Language) est basé sur le langage XML. Il définit la structure des messages SAML échangés entre les IdP et les SP ainsi que les modalités de transmission de ces messages sur internet. SAML fait largement usage des signatures et du cryptage XML pour garantir la sécurité des messages échangés.

Vous avez besoin de plus d’informations sur les métadonnées et le service Discovery ?

Les métadonnées SAML2 sont un document XML décrivant les aspects techniques de tous les IdP et SP de la fédération. Chaque IdP et SP a besoin des métadonnées pour fonctionner correctement. En effet, sans celles-ci, un SP ne sait pas comment crypter les messages envoyés à un IdP donné. Il ne sait pas non plus quel serveur est responsable d’un IdP donné ni quels IdP sont disponibles au sein de la fédération. Les métadonnées sont gérées par l’opérateur de la fédération, Belnet.

Autre service assuré par Belnet pour garantir le bon fonctionnement des opérations : le service Discovery. Lorsqu’un utilisateur accède à une ressource protégée, le SP ne sait pas, à ce stade, de quel IdP relève l’utilisateur. L’utilisateur doit donc sélectionner son organisation dans la liste des IdP disponibles. Cette sélection se fait à travers le service Discovery, également appelé WAYF (Where Are You From?). Le service Discovery peut être autonome et générique ou intégré à un SP donné. Belnet utilise le service Discovery autonome.

Vous avez besoin de plus d’informations sur les attributs ?

Chaque IdP révèle des informations sur l’utilisateur sous la forme d’attributs. Le nom et la date de naissance d’une personne sont des attributs, de même que son affiliation à l’organisation. Si un prestataire de services doit uniquement savoir si une personne étudie dans une université donnée, il s’agit là du seul attribut qui doit être divulgué par l’IdP de l’université.

Extensions : qu’est-ce que le MDUI ?

Cet acronyme signifie Metadata Extensions for User Interface (Login and Discovery). Il s’agit d’une extension utilisée par les IdP et les SP qui permet d’utiliser différentes données afin d’étendre les métadonnées de manière à améliorer l’interface entre l’IdP et le SP, mais essentiellement pour le service de découverte (ou WAYF). Pour ce qui est de l’IdP de notre personnel, Belnet stocke les logos, les coordonnées géographiques et les indications IP. Vous trouverez un exemple de la manière de procéder ci-dessous :

<Extensions>
   <mdui:UIInfo>
       <mdui:DisplayName xml:lang="en"> Belnet </mdui:DisplayName>
       <mdui:Description xml:lang="en"> Belnet operates the Research and Education network for Belgium. </mdui:Description>
       <mdui:Logo height="16" width="16"> https://your.site.url/images/smalllogo.png </mdui:Logo>
       <mdui:Logo height="64" width="152"> https://your.site.url/images/biglogo.png </mdui:Logo>
   </mdui:UIInfo>
   <mdui:DiscoHints>
        <mdui:DomainHint>belnet.be</mdui:DomainHint>
        <mdui:IPHint>193.190.0.0/15</mdui:IPHint>
        <mdui:IPHint>2001:6a8::/32</mdui:IPHint>
       <mdui:GeolocationHint>geo:50.825312,4.365471</mdui:GeolocationHint>
   </mdui:DiscoHints>
</Extensions>

Comme vous pouvez le voir, plusieurs logos peuvent être utilisés et exploités par l’interface qui présente les entités. Il semble qu’un consensus se dégage en faveur des logos étendus en termes de largeur (mais pas trop hauts).

La partie DiscoHint est utilisée pour aider le le système Discovery DiscoJuice à localiser l’IdP le plus proche auquel vous pouvez vous connecter.

Vous avez besoin de plus d’informations techniques et de liens utiles ?

Concernant Belnet R&E Federation :

Metadata Management service (Belnet R&E Federation interface)
Certificat de la Belnet Federation (PEM format) - Valable à partir du 03/07/2018!
Fichier XML de métadonnées – Belnet Federation officielle
Fichier XML de métadonnées – Belnet Federation officielle fusionnée avec eduGAIN

Concernant Shibboleth :

Accueil Shibboleth
Logiciels Shibboleth IdP et SP 
IdP avec Shibboleth 3.1.2 sur Ubuntu (à partir de la version 14.04 LTS)
Installation du SP avec Shibboleth - Linux (Ubuntu)

 

 

Connectez-vous à la Belnet R&E Federation metadata manager interface

Copyright © 2021 Belnet.