laurent gydé DT Renater:
la fédé est ouvert a tout adherent de Renater 100eme IDP vendredi21/01/11 !, 1,2 Millions de users couvre 80% des users de la communauté ens/rech national International, en prod 20 millions de users +140 SP
O.Salaun:
encore 4idp 1.X, 1 Idp simpleSAMLphp (saml2), le reste en shibboleth . autre implementation: openSSO, oioSAML, simpleSAMLphp, lasso le nouveau cadre tech inclue seulement SAML2 (chiffrement , interop, type d'assertion …) , abandon SAML1
High Availaibility shib1 → terracota (partage de memoire entre jvm, module externe) → retour vers un produit integré pour shib2 integration openID, OTP, Single Logout
Passage du Wayf au Discovery service, cinematique: SP → wayf → idp → sp sp → DS → sp (identifiant idp choix saml etc …) → idp → sp Embeded Discovery service, integrer le DS aux SP avec recherche intelligente de l'IDP (javascript + CSS + JSON pour meta data compacte)
quand on a un SSO CAS, on doit alors utiliser le profile “remote user” (et pas shib sso), du coup on ne fait pas du saml de bout en bout, c'est un pb pour le Single Log Out . Renater/Cru reflechis a ecrire un handler SSO CAS pour remedier a ça
Pour la liste des Appli shibbolisées , demstication wiki, internet2 et surfnet
Gestion des diffusions d'attribut, regles d'attributs. service.xml en complement de attribute-filter.xml lors de la declaration du SP dans les ressources de la fédé on peut definir les criteres de regles d'attributs qui genereront automatiquement ces fichiers de “service de regle d'attribut” téléchargeablent . regroupés par categorie ou par theme pour factoriser les telechargements par famille plutot que SP par SP .
patcher l'idp avec logback, script python, rotate log, envoyer a la fédé nos stat pour que notre idp apparaisse (appli ruby de traitement et affichage coté fédé renater). https://services-federation.renater.fr:3443/
assoc 1901, 110 membres, ressource documentaire au sein des univ + ecole + epst des 2006 sudoc avec Abes et elsevier, 2 editeurs qui ont investis dans des SP shib
EZproxy reecriture d'url pour editeur non shib, l'editeur accepte souvent juste une IP (le proxy de l'univ) parfois l'editeur installe un Service Provider shib, EZproxy sert alors juste de collecte de stats.
non chifré entre client et portail captif. le portail est un SP qui va aller chercher l'auth sur les IdP liste blanche (fournie par le CRU) pour autoriser les flux vers les IdP et CAS de la fédé . broadcast du SSID eduspot http://www.cru.fr/services/eduspot/index?s[]=eduspot
17 univ , 1 ecole ensiee, crous …, 400 000 etudiants, 50K personnel, 22 etab www.entrouvert.com/fr SSLL orientée fédé, travail avec des grand comptes, chartes open / partage / independance du client briques: PfSense = firewall surcouche php5 de freeBSD 8.1 Lasso biblio en C (initialement en python)compatible et normalisée SAML2 Django et jquery pour l'interface graphique (adm param SAM) supervision snmp integration avec des controleur du commerce (aruba,ucopia,trapeze,netinary,alcatel …)
Shib + sharepoint, OWA, .Net 2006 → Geneva → ADFS2 Claims Windows Identity pour que dans le “cloud” microsoft puisse recuperer des authn+authN externe Windows Identity Federation (WIF)
webSSO remote_user pour appli proprio simpleSAML, LDAP/SASL sur attributs authzFrom authto, mot de passe jetable OTP mot_authmellon (uninett equivalent renater en norvege) crudeSAML ⇒ permet un “pam_shib” acces a des services non web via shib ⇒ webmail, authz openldap pour edition de sa fichhe ldap .
Esup stockage → homedir en sftp (pam_cas) + esup-ecm en shib portlet stockage pour l'unr → auth shib mapping attribut shib vers attributs uPortal, mod_shib (devant uportal → userContext.xml + security.properties)
confederation projet Geant3, interco de fédé sous ensenble attribut eduperson et schac saml2int edugain MetaDataService qui contient toutes les meta données des fede nationales