Evolutions du guichet de la fédération et gestion des métadonnées SAML 17/07/2015 1
Evolutions Guichet ajout des logos des IdP/SP collecte des URL de Single Logout vérifications sur les certificats X.509 Méta-données SAML renforcement du processus de publication fréquence de publication réorganisation des fichiers de méta-données signature avec algorithme SHA-256 ajout des entity categories plus besoin de filtres d attributs automatiques 17/07/2015 2
Le guichet de la fédération https://federation.renater.fr/registry 17/07/2015 3
Le guichet de la fédération fonctionnement A destination des administrateurs des SP et IdP des contacts fédération des organismes Collecte des données techniques Enregistrement dans les fédérations Génération des méta-données SAML 17/07/2015 4
Guichet Ajouter votre logo Extension des méta-données SAML MDUI = Metadata Extensions for Login and Discovery User Interface inclusion dans les méta-données SAML de DisplayName, Description, Keywords, InformationURL, IPHints, DomainHint, GeolocationHint, Logo implémenté par SWITCH WAIF, Shibboleth IdP On peut inclure des logos dans les métadonnées SAML 17/07/2015 5
Guichet Utilisations d un logo 17/07/2015 6
Guichet Utilisations d un logo 17/07/2015 7
Guichet Utilisations d un logo 17/07/2015 8
Guichet Utilisation du logo Logo de votre IdP affiché par les services de découverte (WAYF) format favicon 16x16 déjà utilisé par RENATER téléchargement automatique de votre favicon utilisé pour https://discovery.renater.fr/renater Logo de votre SP affiché par les fournisseurs d identités format plus grand (300x200 par exemple) intégré à la bannière de login sauf articulation avec CAS 17/07/2015 9
Guichet Ajouter votre logo Si vous gérez un IdP logo initialisé avec le favicon issu de votre site web Si vous gérez un SP 17/07/2015 10
Guichet Implémentation du Single Logout Implémentation Single Logout dans Shibboleth Shibboleth SP >= 2.5.0 (août 2012) Propagation du logout à un IdP Shibboleth IdP >= 2.4.0 (avril 2013) implémentation Single Logout Limites de l implémentation dans IdP Shibboleth pas de propagation du logout aux autres SPs 17/07/2015 11
Guichet Collecte des URLs de Single Logout Pré-requis du Single Logout publication des URLs SLO de l IdP dans métadonnées SAML pas disponible avec version actuelle du guichet Nouvelle fonctionnalité du guichet collecte des URLs de SLO URLs de SLO initialisées automatiquement en chargeant les méta-données de votre IdP en fonction de la version de votre IdP Shibboleth 17/07/2015 12
Guichet Collecte des URLs de Single Logout 17/07/2015 13
Guichet Validation certificats X.509 Campagne de notification d octobre 2014 adressé aux contacts admin des SP/IdP Nature des vérifications date d expiration taille de clé doit être > 1024 bits autorité de certification pas un certificat TCS privilégier un certificat auto-signé 17/07/2015 14
Guichet Validation certificats X.509 Nouvelle fonctionnalité du guichet validation du certificat (taille de clé, expiration, AC émettrice) lors de l enregistrement, mise à jour d un SP/IdP 17/07/2015 15
Méta-données SAML Méta-données SAML des fédérations Test, Education-Recherche, edugain, fed hébergées Publiées et signées par RENATER Valides 6 jours Sources de données le guichet de la fédération Publication régulière Synchronisation des SP/IdP toutes les heures 17/07/2015 16
Méta-données SAML Renforcement processus publication Quelques incidents 21/04/2015 : méta-données incomplètes 27/05/2015 : inaccessibilité des méta-données 17/11/2014 : accroissement méta-données edugain Evolution du processus de publication séparer les fonctions guichet/génération/publication anticiper les problèmes de chargement par Shibboleth contrôler accroissement taille méta-données gérer une historisation 17/07/2015 17
Méta-données SAML Fréquence de publication T0 toutes les 15 minutes T1 (juillet 2015) fédérations de production : une fois par jour fédération de test : toutes les 30 minutes Pourquoi? réorganisation du processus de publication optimisation du trafic réseau Impact sur vos entités SAML délai de prise en compte des mises à jour attention ne pas modifier la fréquence de rafraichissement des métadonnées 17/07/2015 18
Méta-données SAML Réorganisation des fichiers Précédemment un fichier de méta-données par fédération incluant données sur SPs et IdPs Limites toutes les informations ne sont pas utiles un SP n a besoin que des données sur les IdPs un IdP n a besoin que des données sur les SPs un DS a besoin des données sur IdPs+SPs Croissance des méta-données fédération Education-Recherche : 5,3Mo edugain : 15,2Mo potentiellement beaucoup plus! Perspectives Metadata Query Protocol https://datatracker.ietf.org/doc/draft-young-md-query/ 17/07/2015 19
Méta-données SAML Réorganisation des fichiers Fédération Education-Recherche idps-renater-metadata.xml sps-renater-metadata.xml renater-metadata.xml edugain = idps-renater + sps-renater + sps-edugain idps-edugain-metadata.xml sps-edugain-metadata.xml documentation https://services.renater.fr/federation/technique/metadata 17/07/2015 20
Méta-données SAML Signature avec SHA256 Méta-données de fédération signées par RENATER Actuellement algorithme de hachage : SHA1 certificat pour vérifier la signature : SHA1 Recommandations ANSSI algorithme recommandé SHA256 Evolution nouveaux fichiers de méta-données nouveau certificat X.509 A faire pour chaque SP/IdP modifier l URL des fichiers de méta-données télécharger le nouveau certificat 17/07/2015 21
Méta-données SAML Les Entity Categories Objectif : classification des entités SAML dans les métadonnées internet draft http://macedir.org/entity-category/ 17/07/2015 22
Méta-données SAML Les Entity Categories Guichet fédération recueille des informations sur les SP attributs utilisateurs attendus type de service public concerné conformité au Data Protection Code of Conduct Utilisation actuelle de ces informations publication de filtres d attributs pour IdP Shibboleth Nouvelle utilisation intégration dans les méta-données SAML 17/07/2015 23
Méta-données SAML Les Entity Categories Configuration d un IdP Shibboleth alternatives aux filtres automatiques 17/07/2015 24
Méta-données SAML Entity categories disponibles Liste exhaustive https://services.renater.fr/federation/docs/fiches/ entitycategories Des exemples http://www.geant.net/uri/dataprotection-code-of-conduct/v1 https://refeds.org/category/research-and-scholarship/ https://federation.renater.fr/scope/national https://federation.renater.fr/category/elearning https://federation.renater.fr/category/wifi 17/07/2015 25
Calendrier Nouveau guichet de la fédération été 2015 Signature SHA256 méta-données été 2015 Nouveau processus de publication des métadonnées fin 2015 17/07/2015 26