Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam 26/01/2007 lieu de presentation 1
Attributs
Exportation des attributs et réglementation CNIL Problématique pas spécifique à la fédération Du ressort du Correspondant Informatique et Libertés de l établissement Le problème ne se pose que pour des attributs permettant d identifier une personne Pas de nécessité d accord préalable explicite de l usager pour l accès à des services relevant de sa formation ou de son activité professionnelle (à confirmer)
Donner le contrôle de la diffusion d attributs aux utilisateurs 2006 SWITCH
Faciliter la gestion de la diffusion des attributs pour un IdP Pour un IdP, gestion fastidieuse de la diffusion des attributs pour beaucoup de SP (fichier arp.site.xml) Le CRU proposera une génération automatique d un arp.site.xml en fonction des besoins des fournisseurs de service
Ergonomie
Il est possible d éviter le WAYF Depuis un ENT, le passage par le WAYF pour accéder à une ressource extérieure est une gêne pour l utilisateur Il est possible d éviter le WAYF en utilisant des URL spéciales d accès aux ressources, voir http://www.cru.fr/wiki/faq/federation/questions_rep onses_pour_les_wayf#court-circuiter_le_wayf
Utiliser des certificats sans «pop-up» Les fournisseurs d identités et de services utilisent des certificats serveur X.509 Les certificats «maison» ou de l IGC du CRU peuvent provoquer l apparition de messages d avertissement lors de l utilisation de Shibboleth Le CRU met à disposition des certificats sans cet inconvénient, voir www.cru.fr/wiki/scs
Interopérabilité de Shibboleth avec SAML, Liberty Alliance et WS- Federation
Aujourd hui : interopérabilité possible Shibboleth 1.x est basé sur SAML 1.1 Les spécifications initiales de Liberty Alliance aussi Ce dialecte commun permet d envisager une certaine interopérabilité, mais cela dépend fortement des produits et des scénarii d utilisation Interopérabilité réalisée entre Shibboleth 1.3 et Sun Federation Manager (Liberty Alliance) dans le cadre de la confédération nordique
La base d interopérabilité entre Shibboleth et Liberty Alliance est SAML 2.0 Shibboleth 1.x Shibboleth 2.0 Printemps 2007 SAML 1.0 SAML 1.1 SAML 2.0 Mars 2005 Liberty Alliance ID-FF 1.1 Liberty Alliance ID-FF 1.2 Liberty Alliance ID-WSF 2.0
Les recommandations du RGI (v0.9) Elles concernent les échanges inter administrations SAML 2.0 ou ID-FF 1.2 sont recommandés pour fédérer des services (RIO 0156) ID-WSF 1.1 recommandé pour l échange d attributs (RIO 0157)
Interopérabilité avec WS-Federation WS-Federation est le standard de Microsoft pour les fédérations d identités C est un concurrent de Liberty Alliance Il est partiellement basé sur SAML Shibboleth 1.3 est compatible avec ADFS
À l avenir Pour le moment pas de besoins exprimés nécessitant l interopérabilité enseignement supérieur en avance sur la fédération d identités les fournisseurs de services liés à notre communauté adoptent Shibboleth Cependant nous suivons les travaux d interopérabilité de nos homologues (edugain par exemple) et travaillerons sur le sujet quand un besoin sera exprimé ou pressenti
Fédération d identités et eduroam Comité Réseau des Universités
Deux technologies pour l accès Wi- Fi nomade inter établissements eduroam : projet européen (volet français opéré par le CRU et RENATER) protocoles 802.1X et RADIUS Shibboleth peut aussi être utilisé pour l accès nomade inter établissement portail captif «shibbolisé»
eduroam authentification accès web + autres services : messagerie, SSH, web, VPN échelle nationale, européenne voire internationale Shibboleth authentification + attributs accès web seulement échelle régionale ou nationale niveau de sécurité élevé niveau de sécurité moyen configuration d un client 802.1X aucune configuration à effectuer sur le poste client
Lequel utiliser? Dépend de la population ciblée, des usages que l on souhaite offrir Les deux peuvent être utilisés au sein d un établissement (par ex. eduroam pour les enseignants-chercheurs, Shibboleth pour les étudiants) Dans le futur : convergence des deux technologies?