Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM) Entre: Le Centre National pour la Recherche Scientifique et Technique (CNRST), établissement public à caractère administratif, domicilié à Angle Boulevard Allal Al Fassi et Avenue des FAR. Hay Er-Ryad. 10 102 RABAT, Maroc, représenté par son Directeur Ci-après désigné «l opérateur de la fédération d identités» ET L université :...... Représentée par son Président. Ci-après désignée «Fournisseur de services» Il est préalablement exposé que : La fédération d identités marocaine pour l éducation et la recherche (EduIDM) est un service basé sur une infrastructure technique permettant la mutualisation des ressources web entre ses membres. La fédération d identités met en relation les fournisseurs d identités et les fournisseurs de services en échangeant des données de l authentification et de l autorisation des utilisateurs dans un environnement de confiance. Tout établissement connecté au réseau académique MARWAN ou à caractère académique peut adhérer à ce service. Les parties ont convenu ce qui suit : Article 1: Définitions Fédération d identités La fédération d'identités permet de simplifier et sécuriser l'accès à des ressources web dont l'accès est contrôlé. Elle permet la mutualisation des ressources entre organismes et répond aux problématiques de nomadisme. Fournisseur d'identités (IdP) Un fournisseur d identité est un organisme membre de la fédération qui gère les comptes de ses utilisateurs. Ces derniers pourront accéder à une ou plusieurs ressources proposées dans le cadre la fédération d identité. 1/9
Fournisseur de service (SP) Le fournisseur de service est un membre de la fédération d identités autorisé à fournir des services aux membres de la fédération d identités. SAML Security Assertion MarkupLanguage (SAML) est un standard qui permet un échange sécurisé d'informations d'identités entre les IdP et les SP. Entité SAML Une entité SAML est toute partie qui envoie ou reçoit des messages SAML. Les briques IdP et SP sont considérés comme des entités SAML. Métadonnées d une entité SAML Les métadonnées sont un ensemble d informations qui définit techniquement une entité SAML. Métadonnées de la fédération Ce sont les métadonnées de toutes les entités SAML constituant la fédération d identités. Attributs Les attributs sont des Informations décrivant un utilisateur. Ces informations sont gérées par l organisme de rattachement (IdP) de l utilisateur et demandées par les SPs afin d autoriser (ou non) l accès au service demandé. Article 2: Objet La présente convention fixe les conditions et les principes de fonctionnement du service EduIDM. Article 3: Engagements de l opérateur de la fédération d identités L opérateur de la fédération d identités EduIDM s engage à : - Fournir l infrastructure centrale, telle que décrite dans la charte technique qui est une partie intégrante de la présente convention (Annexe 3); - Gérer et maintenir le service EduIDM; - Informer les membres de la fédération d identités des changements et mises à jour du service EduIDM; - Informer les membres de la fédération d identités des changements dans la charte technique du service EduIDM ; - Respecter la législation concernant la protection des données personnels conformément à la loi en vigueur ; - L opérateur de la fédération d identités EduIDM se réserve le droit de suspendre ou arrêter le service EduIDM si le fournisseur d Identités ou le fournisseur de services ne respecte pas les dispositions de la présente convention. Article 4 : Engagements du fournisseur d Identités Le fournisseur d identités s engage à: 2/9
- Informer par écrit l opérateur de la fédération d identités de toute modification des informations fournies dans la convention d adhésion à la fédération; - Respecter les exigences techniques de la charte technique ; - Autoriser l échange des attributs des utilisateurs demandés par les fournisseurs de service; - Assurer la mise à jour des attributs des utilisateurs finaux; - Garantir l échange sécurisé des données. Article 5 : Engagements du fournisseur de services Le fournisseur de services membre de la fédération d identité s engage à : - Informer par écrit l opérateur de la fédération d identités de toute modification des informations fournies dans la convention d adhésion à la fédération (annexe 1 et annexe 2); - Respecter les exigences techniques de la charte technique (annexe 3); - Fournir du contenu servant la communauté d enseignement et de recherche; - Respecter les droits intellectuels (les droits d auteurs, le droit sur les bases de données, le droit des marques, le droit des dessins et modèles,...) et les droits des tiers (le droit au respect et à la protection des données personnelles, diffamation,...) applicables aux services; Article 6 : Limitation de responsabilité de l opérateur de la fédération d identités L opérateur de la fédération d identités décline toute responsabilité en cas de litiges à cause d infractions causées par un membre de la fédération sur les droits des tiers ou des autres membres de la fédération EduIDM. Article 7: Confidentialité Chaque partie s engage à traiter les informations qui lui sont communiquées dans le cadre du service EduIDM avec toute la discrétion nécessaire. Chaque partie s engage aussi à garder secrètement, toutes les informations confidentielles, qui lui seront communiquées ou dont il a eu connaissance dans le cadre de la fédération d identité EduIDM. Aucune donnée ne peut être utilisée à d autres fins que celles indiquées dans cette convention. Article 8: Résiliation et fin de la convention A tout moment, chaque partie peut mettre un terme à la présente convention et ce, en adressant une lettre officielle à l'autre partie moyennant un préavis de deux mois. 3/9
Article 9: Force majeure Aucune des parties ne sera tenue responsable pour un retard ou un manquement dans l exécution de ses obligations contractuelles, si la cause de ce manquement est due à une force majeure (par exemple la grève, la guerre, l émeute ou la destruction des machines...). Article 10: Durée et entrée en vigueur La présente convention entrera en vigueur à la date de sa signature par les Parties. Elle est conclue pour une durée initiale de cinq (5) ans. A l issue de la durée initiale, elle sera renouvelée par tacite reconduction d année en année sauf dénonciation par la moitié des parties. Article 11: Compétence juridictionnelle Tout litige né à l'occasion de l'exécution ou de l'interprétation de la présente convention est soumis, à défaut d'accord à l'amiable, au tribunal compétent de Rabat. Fait à Rabat, le... Pour l Opérateur de la fédération d identités Pour le Fournisseur de services Signature : Signature : 4/9
Annexe 1 Document désignant les représentants du Fournisseur de services Le Fournisseur de services désigne les personnes suivantes: (1) Nom et prénom: E-mail : Tél : (2) Nom et prénom: E-mail : Tél : Comme leurs représentants dans la fédération d identités et les autorise à mener les procédures nécessaires pour l exercice du rôle du Fournisseur de services dans le cadre de la fédération EduIDM. Pour le Fournisseur de services Signature : 5/9
Annexe 2 Document décrivant le(s) service(s) offert(s) Description des services qui seront offerts par le Fournisseur de services dans le cadre de la fédération EduIDM ainsi que les attributs LDAP requis: Pour le Fournisseur de services Signature : 6/9
Annexe 3 La charte technique 1. Introduction Ce document décrit les exigences techniques de la fédération d identités marocaine pour l éducation et la recherche. 2. Protocoles utilisés La fédération EduIDM utilise le protocole SAML. 2.1 Messages SAML Les messages SAML échangés entre les IdPs et les SPs doivent être signés. L'entité qui reçoit un message SAML (IdP ou SP) doit vérifier la signature du certificat utilisé par l entité émettrice, tel que publié dans les métadonnées les plus récentes. Si un message SAML n'est pas signé, ou si une signature ne peut être vérifiée par rapport aux métadonnées de la fédération, le message doit être refusé par l entité réceptrice. 2.2 Certificats des entités SAML Chaque entité SAM La besoin d'un certificat pour signer et/ou chiffrer les messages SAML. Le certificat fait partie des métadonnées de l entité, et devra être publié dans les métadonnées de la fédération. - Chaque membre de la fédération doit aviser l'opérateur de la fédération(cnrst) à chaque fois qu une paire de clé de certificat est compromise. Les informations de l'entité en question seront alors supprimées des métadonnées de la fédération. Lorsque le problème est résolu, la nouvelle version des métadonnées de l entité sera incluse dans les métadonnées de la fédération. - Chaque entité est obligée à régénérer chaque 03 ans (au maximum) un certificat signé par une autorité de certification reconnue ; - La taille minimale requise de la clé est 1024 bits. 3. Publication des Métadonnées de la fédération L un des services de base de la fédération d identités EduIDM est la construction et la publication des métadonnées. Ces derniers seront disponibles à l adresse Web suivante : https://www.eduidm.ma/metadata/eduidm-metadata.xml. Chaque membre est dans l obligation de rafraîchir les métadonnées de la fédération dans son IdP ou SP et ce, toutes les 06 heures. 7/9
4. Schéma des attributs L Idp transmet vers le SP, les attributs de l utilisateur. Ces attributs sont définis dans des schémas. Pour garantir l interopérabilité entre les SPs et les IdPs de la fédération, il est obligatoire d'utiliser le schéma ci-dessous avec les classes d'objets et attributs mentionnés. 4.1 La classe d objet inetorgperson InetOrgPerson est la classe à utiliser pour la définition des données à caractères personnelles. 4.1.1 givenname Il doit contenir le prénom de l utilisateur. 4.1.2 sn (surname) Il doit contenir le nom de l utilisateur. 4.1.3 displayname C est un attribut qui ne peut contenir qu une seule valeur et doit contenir le prénom suivi du nom (séparés par un espace). 4.1.4 cn (commonname) C est un attribut qui peut contenir plusieurs valeurs et doit contenir le nom suivi du prénom (séparés par un espace). 4.1.5 Mail Il doit contenir l adresse du courrier électronique canonique de l utilisateur. 4.2 La classe d objet eduperson La classe d'objet eduperson est définie comme une extension de la classe d'objet inetorgperson, elle permet l ajout des attributs essentiels pour les personnes exerçant dans un environnement éducatif. Ci-dessous, quelques attributs qui seront utilisés. 4.2.1 edupersonaffiliation Il Permet de distinguer les catégories de l utilisateur. C est un attribut qui peut contenir plusieurs valeurs. Les valeurs possibles sont : faculty : Enseignant ou enseignant chercheur ; student : Etudiant ; alum : Ancien étudiant ; employee : Personnels administratifs et techniques ; 8/9
member : Contient faculty, student, employe et toute personne faisant partie de la communauté de l'établissement ; affiliate : Partenaires externes à l'établissement ; researcher : Chercheur/Doctorant. 4.2.2 edupersonprimaryaffiliation C est un attribut qui ne peut contenir qu une seule valeur. Il Peut contenir la catégorie principale de l'utilisateur. S il contient une valeur, il doit contenir une des valeurs définie dans edupersonaffiliation. 4.2.3 edupersonprincipalname C est un attribut qui ne peut contenir qu une seule valeur. Il identifie l utilisateur au sein de son établissement. Il est unique au niveau national et peut être changé dans le temps. Il est sous la forme X@domaine et X peut prendre soit le nom de l utilisateur (username), soit son identificateur (userid). 4.2.4 edupersonscopedaffiliation C est un attribut qui peut contenir plusieurs valeurs. Les valeurs possibles sont edupersonaffiliation@domaine. 4.3 La classe eduorg C est une classe qui contient des attributs qui définissent l établissement. 4.3.1 eduorglegalname Cet attribut doit contenir le nom officiel de l'établissement. Il est recommandé de ne mettre qu'une seule valeur, qui doit être le nom officiel de l'établissement (et non un nom d'usage ou un sigle). 9/9