Authentification CAS:
Paramètres:
- login CAS : https://cas.univ-lyon1.fr/cas/login
- logout CAS : https://cas.univ-lyon1.fr/cas/logout
- validation du service : https://cas.univ-lyon1.fr/cas/p3/serviceValidate
La version du protocole utilisée est la 3.0.
Si le nom dns du service nécessitant l'authentification CAS, n'est pas membre du domaine dns .univ-lyon1.fr, il faut effectuer une demande d'autorisation via sosinfo.univ-lyon1.fr.
En plus de l'authentification, certains attributs sont fournis par défaut par le CAS de l'université:
- firstname: prenom
- name: nom
- email: mail
Identification Shibboleth:
Pour résumer, l'identification SAML au sein de la fédération d'identité "Education - Recherche" repose sur deux briques:
- l'identity provider (idp), prenant en charge l'authentification (il peut la déléguer à d'autres services CAS notamment) et récuperant les paramètres demandés dans un annuaire pour les fournir au service provider
- le service provider (sp), récuperant les paramètres nécessaires auprès de l'idp et les fournissant à l'application
Les échanges entre l'idp et le sp se font via le protocol SAML.
La confiance entre les différents acteurs de la fédération (sp et idp) se fait via la publication par Renater de metadonnées signées, fichiers xml regroupant les caractéristiques de chaque acteur (url de login, logout, cles destinés à securiser les échanges SAML ...)
Avant la mise en production d'une identification Shibboleth sur "Education - Recherche", il est préférable d'effectuer quelques tests sur la federation de Test.
Pour ce qui concerne l'identification Shibboleth pour une application deux cas de figure peuvent se présenter:
- le service provider (sp) n'est pas integré à l'application (cas le plus courant).
Dans ce cas, il faut demander la mise en place d'un sp concernant votre application via sosinfo.univ-lyon1.fr.
Il faut procéder à l'enregistrement de votre sp sur la federation d’identité via le guichet https://federation.renater.fr/registry: différents onglets à remplir.
Note: pour ce qui des informations techniques (onglet) il vous suffit de faire pointer l'url de métadonnées sur l'url du sp que nous vous aurons activé soit: https://nom_dns_service_concerne/Shibboleth.sso/Metadata.
Il vous faut ensuite attendre notre validation (onglet).
Une fois la validation effective, au sein de votre application, il vous faut renseigner:
l'url de login: http://nom_dns_service_concerne/Shibboleth.sso/SAML2/POST
l'url de logout (locale): http://nom_dns_service_concerne/Shibboleth.sso/Logout
Activer la récuperation des attributs concerné via les en-têtes http puisqu'ils sont transmis dans ce cas par ce biais à l'application par le sp.
(Note: url de logout idp: https://idp.univ-lyon1.fr/idp/profile/Logout)
- le service provider (sp) est intégré à l'application. Dans ce cas, la plupart du temps, il faut indiquer dans le module concerné, soit des informations sur:
→ le service de découverte de la federation concernée:
"enseignement-recherche": https://discovery.renater.fr/renater/
"test": https://discovery.renater.fr/test/
ou
→ l'idp aupres duquel s'identifier est laissé à la discretion de l'utilisateur, ex:
entity ID Lyon 1: urn:mace:cru.fr:federation:univ-lyon1.fr, les points d'access SSO, de logout et éventuellement le certificat de l'idp. (informations disponible dans le fichier de metadata renater https://metadata.federation.renater.fr/renater/main/main-idps-renater-metadata.xml)
Il faut ensuite enregistrer (cf cas précedent) votre sp auprès de la fédération d'identité concernée (avec les parametres propres à votre sp: metadata ou paremetres "en dur"; url de login, logout du sp).
cf: https://services.renater.fr/federation/documentation/guides-installation/sp3/chap07
Exemples de librairies utilisables:
en php:
- pour cas: php-cas
- pour shibboleth: https://simplesamlphp.org/ simplesaml