Fédération SAML : Gestion des méta-données
Pour permettre d'établir un lien de confiance avec une entité partenaire, le serveur EoleSSO utilise des fichiers métadata[1] comme défini dans les standards SAML.
Envoi des informations du service EoleSSO à un partenaire :
- Le fichier métadata du service EoleSSO doit être mis en place sur le serveur partenaire. La procédure varie suivant le logiciel utilisé. Ce fichier est disponible sur le serveur à l'adresse
https://<adresse_serveur_eolesso>:8443/saml/metadata
- Dans le cas où ils ne sont pas pris en compte depuis le fichier de métadata, les certificats du serveur doivent être envoyés séparément, et parfois convertis vers un autre format. Le certificat utilisé par défaut dans le cadre d'un serveur EOLE est /etc/ssl/certs/eole.crt, sauf si l'utilisation d'un autre fichier a été configurée (voir l'exemple de fédération avec un serveur RSA/FIM dans les annexes pour un exemple de conversion du certificat)
- Le fichier métadata du service EoleSSO doit être mis en place sur le serveur partenaire. La procédure varie suivant le logiciel utilisé. Ce fichier est disponible sur le serveur à l'adresse
Mise en place des information du partenaire sur le serveur EoleSSO :
- Le fichier métadata de l'entité partenaire doit être mis en place sur :
/usr/share/sso/metadata/<nom_fichier>.xml
. Si possible utilisez un nom court, car le nom du fichier (sans le .xml) peut être utilisé dans des URLs pour faire référence à l'entité au lieu d'utiliser son identifiant SAML. - Une fois le fichier en place, il faut redémarrer le service EoleSSO pour qu'il soit pris en compte : CreoleService eole-sso restart (reload est suffisant dans ce cas)
- Le fichier métadata de l'entité partenaire doit être mis en place sur :
Attention
Si l'entité partenaire n'est pas un serveur EoleSSO, il faut vérifier que les informations suivantes sont disponibles dans le fichier métadata fourni :
- Certificat de signature des messages
- L'entité doit être capable de recevoir et envoyer des messages en utilisant les bindings
HTTP-Redirect
ou HTTP-POST. Actuellement, le serveur EoleSSO ne gère pas les bindingsHTTP-Artifact
etSOAP/PAOS
. - En mode fournisseur de service, le serveur EoleSSO ne gère pas le service
Idp Discovery
(détection automatique du fournisseur d'identité à l'aide d'un cookie sur un domaine commun). Il est possible cependant d'initier le processus d'authentification en tant que fournisseur de service en spécifiant le fournisseur d'identité à interroger.