Metadata-Fede

Starting point: https://spaces.internet2.edu/display/SHIB2/Metadata

Documentation de la fédération Renater (FR) https://federation.renater.fr/technique/metadata?s[]=metadata

Fédération à Deux https://federation.renater.fr/docs/fiches/fedadeux

Discussion I had on the shibboleth-users list: https://mail.internet2.edu/wws/arc/shibboleth-users/2009-11/msg00399.html

Notre institut adhère à la fédération national Renater, afin de partager avec la communauté de l'enseignement supérieur et la recherche en France. Pour des usages plus privés (intranets) au sein de L'Institut Telecom nous avons definis en parallele de la fédération Renater une fédération Institut Telecom. Cette page décrit les aspects techniques de la constitution de cette fédération aux travers notament de la définition de metadata .

Metadata = méta-données “in french !”

cf intro: “Les méta-données sont un fichier XML signé électroniquement listant tous les fournisseurs d'identités et les ressources de la fédération. Il est utilisé par tous les logiciels de fédération des fournisseurs d'identités et les ressources de la fédération pour se faire mutuellement confiance. ”

Pour échanger des données et se faire confiance, les briques techniques (IdP & SP) d'une fédération doivent partager un fichier (XML) décrivant chacune de ses briques. Depuis les versions 2.x de shibboleth, il est facile d'accéder aux metadata des briques IdP & SP.

• SP: le “handler Metadata” du SP y donne un accès direct en ligne: http://sp.domain.eu/Shibboleth.sso/Metadata
• IdP: le fichier idp.metadata.xml est automatiquement constitué à l'installation.

 $ls -l /opt/shibboleth-idp/metadata/idp-metadata.xml
 -rw-r--r-- 1 tomcat root 5866 oct 20  2008 /opt/shibboleth-idp/metadata/idp-metadata.xml

Afin de constituer un fichier “central” ( a partager entre toutes les acteurs), il suffit de concaténer toutes ces metadata individuels en suivant un certaines terminologie et syntaxe XML .

• header xml + description
• optionels certificats, PKI
• Providers IdP, SP .

Le tout agrémente de commentaires appropriés.

• header

<?xml version="1.0" encoding="UTF-8" standalone="no" ?>
<!-- FedeIT Jehan V0.5.7 25/11/2009 IDP: Evry,Lille,Paris 1.3 SP:www-public,intranet3 PKIIT2 -->
<EntitiesDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" Name="https://federation.institut-telecom.fr/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
>

• Certificats pour PKI(optionel)

<!-- AC PKIIT2,  3 levels hierarchie   -->
    <Extensions>
        <shibmd:KeyAuthority VerifyDepth="5" xmlns:shibmd="urn:mace:shibboleth:met
adata:1.0">

<!-- AC IT_ROOT_CA2 , root = level1 here-->
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                            <ds:X509Certificate>
MIIH4TCCBcmgAwIBAgIJAIQtSXlZWjxSMA0GCSqGSIb3DQEBBQUAMGcxPTA7BgNV
...
bgCBc+s=
                </ds:X509Certificate>
        </ds:X509Data>
</ds:KeyInfo>

<!-- AC TI_CA2 level2 sub-CA-->
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                        <ds:X509Certificate>
MIIHkzCCBXugAwIBAgIBAjANBgkqhkiG9w0BAQUFADBnMT0wOwYDVQQDEzRJbnN0
...
zmLouQa8jrPeNp8JDTPgTp2GvXyH6Rw=
                </ds:X509Certificate>
        </ds:X509Data>
</ds:KeyInfo>

<!-- AC TMSP_CA2 level3 sub-sub-CA -->
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                        <ds:X509Certificate>
MIIHrDCCBZSgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBgzE+MDwGA1UEAxM1SW5z
...
dIN5iWlZyevQ1wnf1V1gLoGwYfKZnBgHx++2gbzSCXcOSmGefB+Xy2+TM6VrrFRg
                </ds:X509Certificate>
        </ds:X509Data>
</ds:KeyInfo>

        </shibmd:KeyAuthority>
    </Extensions>

• IdP

<!-- Actual providers go here.  -->
    <!-- identity provider Evry https://shibidp1.it-sudparis.eu/idp/shibboleth -->


<EntityDescriptor entityID="https://shibidp1.it-sudparis.eu/idp/shibboleth" xmlns=
"urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig
#" xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" xmlns:xsi="http://www.w3.org/20
01/XMLSchema-instance">

    <IDPSSODescriptor protocolSupportEnumeration="urn:mace:shibboleth:1.0 urn:oasi
s:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol">

        <Extensions>
            <shibmd:Scope regexp="false">it-sudparis.eu</shibmd:Scope>
        </Extensions>

        <KeyDescriptor>
            <ds:KeyInfo>
                <ds:X509Data>
                    <ds:X509Certificate>
MIIDSDCCAjCgAwIBAgIVAJv2l61sKf1VgzgHPgGRdmvIdBeGMA0GCSqGSIb3DQEB
...
SA354+sPezlzSyImVbYaHH6naLQuFV7cmUNPOQ==

                    </ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </KeyDescriptor>

        <ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:1.0:bindings:S
OAP-binding" Location="https://shibidp1.it-sudparis.eu:8443/idp/profile/SAML1/SOAP
/ArtifactResolution" index="1"/>

        <ArtifactResolutionService Binding="urn:oasis:names:tc:SAML:2.0:bindings:S
OAP" Location="https://shibidp1.it-sudparis.eu:8443/idp/profile/SAML2/SOAP/Artifac
tResolution" index="2"/>
        <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
        <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDF
ormat>

        <SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnReques
t" Location="https://shibidp1.it-sudparis.eu/idp/profile/Shibboleth/SSO"/>

        <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-PO
ST" Location="https://shibidp1.it-sudparis.eu/idp/profile/SAML2/POST/SSO"/>

        <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-PO
ST-SimpleSign" Location="https://shibidp1.it-sudparis.eu/idp/profile/SAML2/POST-Si
mpleSign/SSO"/>

        <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Re
direct" Location="https://shibidp1.it-sudparis.eu/idp/profile/SAML2/Redirect/SSO"/
>
    </IDPSSODescriptor>

    <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:S
AML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol">

        <Extensions>
            <shibmd:Scope regexp="false">it-sudparis.eu</shibmd:Scope>
        </Extensions>

        <KeyDescriptor>
            <ds:KeyInfo>
                <ds:X509Data>
                    <ds:X509Certificate>
MIIDSDCCAjCgAwIBAgIVAJv2l61sKf1VgzgHPgGRdmvIdBeGMA0GCSqGSIb3DQEB
...
SA354+sPezlzSyImVbYaHH6naLQuFV7cmUNPOQ==

                    </ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </KeyDescriptor>

        <AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-bindi
ng" Location="https://shibidp1.it-sudparis.eu:8443/idp/profile/SAML1/SOAP/Attribut
eQuery"/>
        <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Loca
tion="https://shibidp1.it-sudparis.eu:8443/idp/profile/SAML2/SOAP/AttributeQuery"/
>

        <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
        <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDF
ormat>

    </AttributeAuthorityDescriptor>

</EntityDescriptor>

Autre IDP

    <!-- Lille IDP -->
<EntityDescriptor entityID="https://idp.telecom-lille1.eu/idp/shibboleth"
...
</EntityDescriptor>