Qu’est-ce que eduGAIN ?
Chaque membre de la fédération R&E de Belnet est automatiquement intégré à eduGAIN, le projet d’interfédération transcontinental développé par Géant (le réseau paneuropéen de R&E) pour bénéficier des services offerts par d’autres fédérations partout dans le monde. Si vous êtes un fournisseur de services, vous pouvez également mettre les services de votre organisation à la disposition d’eduGAIN.
eduGAIN interconnecte les fédérations d’identité du monde entier, simplifiant l’accès aux contenus, services et ressources pour la communauté mondiale de la recherche et de l’enseignement.
eduGAIN permet des échanges fiables d’informations relatives à l’identité, à l’authentification et à l’autorisation (AAI) en coordonnant les éléments de l’infrastructure technique des fédérations et en fournissant un cadre politique régissant ces échanges d’informations.
Vous pouvez consulter la liste des participants à eduGAIN sur le site web d’eduGAIN ici.
Admin FAQ:
Quels sont les avantages de l’adhésion à eduGAIN ?
Les IdP et SP sont-ils automatiquement intégrés à eduGAIN ?
Quels sont les coûts ?
Technical FAQ
Comment rejoindre eduGAIN ?
Comment faire, sur le plan technique, pour rejoindre eduGAIN ?
Comment rejoindre eduGAIN ?
Comment rejoindre eduGAIN en tant qu’IdP (Identity Provider) ?
Comment rejoindre eduGAIN en tant que SP (fournisseur de services) ?
Liens utiles:
Vous avez besoin de plus d’informations techniques ?
Comment activer la couche MFA pour renforcer la sécurité de mes processus d’authentification ?
Quels sont les avantages de l’adhésion à eduGAIN ?
Les fédérations connectées apportent des avantages à leurs membres, IdP et SP. À leur tour, les SP peuvent proposer des services potentiellement intéressants pour tout le monde.
p id="Les_IdP_et_SP_sont-ils_automatiquement_intégrés_à_eduGAIN_?" name="Les IdP et SP sont-ils automatiquement intégrés à eduGAIN ?">
Les IdP et SP sont-ils automatiquement intégrés à eduGAIN ?
Non. Une demande en ce sens doit être introduite auprès de Belnet. Voir le schéma sur la structure d’eduGAIN.
Quels sont les coûts ?
Il n’y en a pas ! Ce service est gratuit pour tous les membres.
Comment faire, sur le plan technique, pour rejoindre eduGAIN ?
Dans la plupart des cas, vous devrez ajouter certaines informations à vos fichiers de configuration Shibboleth.
Comment rejoindre eduGAIN ?
Metadata registration practice statement Federation name: Belnet Federation Federation operator: Belnet, Belgium Federation web page: http://federation.belnet.be Date of last change: 27 March 2012 Common practices ---------------- The IdPs are Belnet's customers from R&E community, excluding a administrations and ministries of all levels. The SP are any companies that offers a service or content that fulfils the needs of Belnet's R&E community members, respecting the defined policy. All IdP and SP's administrators connect via https and authenticate via Belnet Customer's AAI system with regard to the Belnet Federation's metadata manager [1], where the original information gets checked and stored in the metadata manager's database. It is later used for generating the Belnet federation's metadata. In addition, before the federation operator publishes metadata dedicated to interfederation, an institution has first to declare that its processes are ready for interfederation. Only then will, its IdP and SP administrators be able to declare that their respective entity is also technically ready to participate in interfederation. IdP registration practices -------------------------- An IdP registering with the federation needs to be manually approved by a team member of the federation operator. Such approval requires: - a completed membership service agreement signed by an official representative(s) of the newly participating institution; - elements and attributes to be registered using use a domain name of that institution. The administrators appointed specifically by that institution will receive access to the metadata manager service where they can upload the metadata of the their IdP. After approval, the federation operator publishes and maintains the federation's metadata. Subsequent changes to these elements and attributes do not require re-approval by the federation operator. Only, administrators appointed specifically by that institution can modify the IdP specific information. For interfederation, the entity must ask the federation operator to publish it for participation in eduGAIN. SP registration practices ------------------------- Each SP must be manually approved by a team member of the federation operator in order to be registered with the federation. Such approval requires: - a completed membership service agreement signed by an official representative(s) of the newly participating service provider; - elements and attributes to be registered using a domain name of that SP. The administrators appointed specifically by that SP will then receive access to the Metadata Manager service where they can upload the metadata of the their SP. After approval, the federation operator publishes and maintains the federation's metadata. Subsequent changes to these elements and attributes do not require re-approval by the federation operator. Only, administrators appointed specifically appointed by that SP can modify the SP specific information. For interfederation, the entity must ask the federation operator to publish it for participation in eduGAIN. Practices regarding metadata modifications ------------------------------------------ In the Belnet Federation, no metadata are modified because the federation operator generates them on behalf of all entities acquired through the metadata manager service. The source for generating federation metadata is the metadata manager database. The details of a registering entity are entered by each IdP/SP administrator providing the necessary metadata. A wizard will parse provided entity metadata to check the SAML2 syntax and the required content. The IdP/SP administrator also has to supply non-technical information such as descriptions or support contacts. All technical and non-technical information is stored on a customer database. This information will be used to generates the access credentials for the metadata manager system. [1] https://federation.belnet.be/re/md-mgmt/
Comment rejoindre eduGAIN en tant qu’IdP (Identity Provider) ?
Pour rejoindre la fédération eduGAIN :
1) Contactez le Belnet Service Desk à l’adresse servicedesk@belnet.be (si vous êtes déjà client, n’oubliez pas votre acronyme). Le Service Desk vous mettra en contact avec notre équipe Relations Clientèle. L’Account Manager vous demandera de remplir, de signer et de nous renvoyer le contrat.
2) Vous devez modifier votre configuration IdP Shibboleth.
2.1) Dans [shibboleth directory]/conf/relying-party.xml, vous devez accepter de recevoir des métadonnées du service eduGAIN. Vous devez donc ajouter les lignes suivantes, comme dans l’exemple ci-dessous :
<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:ChainingMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata">
...
<!-- ******* eduGAIN Federation ******* -->
<metadata:MetadataProvider id="URLMD4" xsi:type="metadata:FileBackedHTTPMetadataProvider"
xmlns="urn:mace:shibboleth:2.0:metadata"
metadataURL="http://mds.edugain.org"
backingFile="/opt/shibboleth-idp/metadata/mds.edugain.org.xml" >
<!-- Using chaining filter to allow us multiple filters to be added -->
<metadata:MetadataFilter xsi:type="ChainingFilter" xmlns="urn:mace:shibboleth:2.0:metadata">
<!-- Ensure the metadata has a reasonable (1 week) validity period. -->
<!-- <metadata:MetadataFilter xsi:type="RequiredValidUntil" xmlns="urn:mace:shibboleth:2.0:metadata"
maxValidityInterval="P9D" /> -->
<!--
Ensure metadata is signed and use the 'shibboleth.MetadataTrustEngine'
to determine its trustworthiness
-->
<metadata:MetadataFilter xsi:type="SignatureValidation" xmlns="urn:mace:shibboleth:2.0:metadata"
trustEngineRef="eduGAIN.MetadataTrustEngine"
requireSignedMetadata="true" />
</metadata:MetadataFilter>
</metadata:MetadataProvider>
...
Un peu plus loin dans le fichier, les lignes suivantes doivent être incluses afin de vérifier la validité de la signature des données eduGAIN:
...
<!-- Trust engine used to evaluate the signature on loaded metadata. -->
<security:TrustEngine id="eduGAIN.MetadataTrustEngine" xsi:type="security:StaticExplicitKeySignature">
<security:Credential id="eduGAINCredentials" xsi:type="security:X509Filesystem">
<security:Certificate>/opt/shibboleth-idp/credentials/edugain-mds.cer</security:Certificate>
</security:Credential>
</security:TrustEngine>
...
2.2) Vous devez télécharger le certificat permettant de signer les métadonnées d’eduGAIN :
Lien vers le certificat de signature d’eduGAIN pour valider la signature des métadonnées
Installez-le dans le répertoire [shibboleth directory]/credentials/ comme spécifié dans votre configuration relying-party.xml.
3) Pour être entièrement conforme aux exigences d’eduGAIN, vous devez modifier les métadonnées de votre IdP pour inclure les sections suivantes (à ajouter dans la section
xmlns:mdrpi="urn:oasis:names:tc:SAML:metadata:rpi" xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui" Right after the <EntityDescriptor> part, the following part needs to be included: <Extensions> <mdrpi:RegistrationInfo registrationAuthority="http://federation.belnet.be/" registrationInstant="2012-03-27T12:00:00Z"> <mdrpi:RegistrationPolicy xml:lang="en">http://federation.belnet.be/files/Belnet-metadata-registration-practice-statement.txt</mdrpi:RegistrationPolicy> </mdrpi:RegistrationInfo> </Extensions> In the <IDPSSODescriptor> part, the following needs to be present: <Extensions> <shibmd:Scope regexp="false" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0">[YOUR DOMAIN]</shibmd:Scope> <mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"> <mdui:DisplayName xml:lang="en">[YOUR INSTITUTION]</mdui:DisplayName> <mdui:Description xml:lang="en">[SMALL DESCRIPTION OF YOUR INSTITUTION]</mdui:Description> <mdui:Logo height="16" width="16">https://anyurlwithyourlogoaccessible/yoursmalllogo.png</mdui:Logo> <mdui:Logo height="75" width="153">https://anyurlwithyourlogoaccessible/yourbiglogo.png</mdui:Logo> </mdui:UIInfo> <mdui:DiscoHints xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"> <mdui:IPHint>[the IPv4 range you are using 193.190.x.y/mm</mdui:IPHint> <mdui:IPHint>2001:6a8:[your IPV6 range]::/64</mdui:IPHint> <mdui:DomainHint>[YOUR DOMAIN]</mdui:DomainHint> <mdui:GeolocationHint>[YOUR GEO COORDINATES in format like geo:50.825312,4.365471]</mdui:GeolocationHint> </mdui:DiscoHints> </Extensions>
Le mdui : Logo n’est pas obligatoire, mais il est attrayant lorsqu’il est affiché dans le service de découverte d’eduGAIN, à côté de celui de votre institution (ce service de découverte s’appelle discojuice).
Attention : dans les versions précédentes, il nous était demandé de mettre un logo intégré base64 dans les balises
4) À la réception de votre lettre, nous publierons vos métadonnées sur la liste de métadonnées eduGAIN de Belnet, qui sera intégrée aux métadonnées eduGAIN globales.
Comment rejoindre eduGAIN en tant que SP (fournisseur de services) ?
- Pour adhérer à la fédération eduGAIN, contactez le Belnet Service Desk à l’adresse servicedesk@belnet.be (si vous êtes déjà client, n’oubliez pas votre acronyme). Le Service Desk vous mettra en contact avec notre Customer Relations Team.
- L’Account Manager vous demandera de remplir, de signer et de renvoyer le contrat.
- À sa réception, nous publierons vos métadonnées sur la liste de métadonnées eduGAIN de Belnet, qui sera intégrée aux métadonnées eduGAIN globales.
Vous avez besoin de plus d’informations techniques et de liens utiles ?
eduGAIN website
Fichier XML de métadonnées - participants Belnet à eduGAIN
Certificat de signature d’eduGAIN pour valider la signature des métadonnées
Comment activer la couche MFA pour renforcer la sécurité de mes processus d’authentification ?
Découvrez notre documentation ainsi que nos vidéos démos sur notre page FAQ consacrée au Multi Factor Authentication (MFA).
Retrouvez les différentes entités participantes grâce à l'outil développé par GÉANT