Exemple de Fédération avec RSA/FIM

Préparation de la configuration FIM

Les données suivantes sont nécessaires pour configurer l'association dans FIM :

  • Les méta-données du serveur EoleSSO : wget https://<ip_serveur_sso>:8443/saml/metadata --no-check-certificate --outputfile=eolesso.xml
  • le certificat du serveur EoleSSO : /etc/ssl/certs/eole.crt (fichier par défaut, peut varier selon la configuration)

Si le certificat est au format PEM (c'est le cas du certificat par défaut sur un module EOLE), il faut le convertir au format DER : openssl x509 -inform PEM -outform DER -in eole.crt -out eole_der.crt

Une fois converti, utiliser la commande keytool pour intégrer le certificat à un truststore du serveur RSA/FIM (ou créer un truststore spécifique à cette occasion). Sur notre serveur de test, ils sont situés dans /appli/federation/rsa-fim-config/keystores

Par exemple : <chemin_vers_jdk>/bin/keytool -import -alias fs-ac-mon_acad-et-mon_etab-1.0 -keystore mon_truststore-trust.jks -file eole_der.crt

Configuration du fournisseur d'identité :

  • aller dans Quick Setup -> add New Partner ;

  • importer le fichier de méta-données eolesso.xml et donner un nom d'entité ;

  • sauver dans la page suivante (association), choisir le fournisseur de service (FIM) ;

  • cliquer sur l'onglet general settings et choisir les réglages suivants :

    • Encrypting/Signature truststores : sélectionner le truststore créé ci dessus ;
    • cocher la case Transient Plug-in ;
    • le greffon 'dictao cleartrust transient plugin' doit être sélectionné ;
    • attribute plugin : ajouter DictaoDumbAttributePluginRP ;
    • laisser les autres valeurs par défaut et sauver.

Configuration du serveur EoleSSO

La première étape est de récupérer le fichier de méta-données du fournisseur de service dans FIMConfig :

  • Entities -> local entities -> manage existing ;
  • cliquer sur le fournisseur, puis sur 'Export' dans le menu déroulant ;
  • valider avec les valeurs par défaut, et copier le contenu affiché dans un fichier sur votre machine locale.

Placer ce fichier dans le répertoire /usr/share/sso/metadata (dans cet exemple, fim_sp.xml) du serveur EoleSSO et redémarrer le service.

Attention

Le fichier de méta-données doit être un fichier XML valide. Si l'entête suivant n'est pas présent, ajoutez le au début du fichier :

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

Test du lien de fédération

Pour accéder à une ressource au moyen de la fédération, il faut utiliser une adresse de ce type :

https://<adresse_FI>:8443/saml?sp_ident=<id_FS>&RelayState=<adresse_service>