Formation Shibboleth / Mise en place d'un fournisseur d'identités Shibboleth

Les participants à cette formation pourront installer et configurer un fournisseur d'identités Shibboleth sur un serveur de leur établissement. Les participants devront amener un PC portable, configuré pour pouvoir se connecter au serveur dans leur établissement.

• Date : jeudi 14 février 2008, de 10 heures à 17 heures
• Public concerné : informaticiens dans un établissement d'enseignement supérieur ou un organisme de recherche.
• Lieu de la formation : CRI de l'Université de Rennes 1, accès : http://www.cru.fr/infos-pratiques/acces-cri
• Tarif : gratuit, le repas du midi est prévu (réservation) mais pas pris en charge
• Inscription : Inscription : vous devez vous inscrire à la liste de diffusion inscrits-tp-idp-shibboleth
• Nombre de places : 8 binômes
• Support de la formation : support-tp-idp.odt (mises à jour possibles, d'ici à la date de la formation)
• Présentation de la formation : presentation-tp-idp.odp (mises à jour possibles, d'ici à la date de la formation)
• Organisateur de la formation : Comité Réseau des Universités
• Formateurs : Florent Guilleux, Mehdi Hached, Olivier Salaün (Comité Réseau des Universités)
• Contact et information : federation-admin@cru.fr

Connaissances requises :

• Connaître le fonctionnement de Shibboleth (lire cet article)
• Connaître l'environnement Unix
• Connaître les logiciels Apache et Tomcat

Equipement à apporter :

• PC portable, équipé d'une carte réseau
• Le PC portable devra être configuré pour effectuer une connexion sécurisée sur le serveur distant (SSH, VPN,...).

Le contexte : en production un fournisseur d'identités Shibboleth peut être installé sur la même machine que votre serveur CAS. Bien sûr pour cette formation il est préférable d'opérer sur un serveur de test.

• le serveur doit avoir un système type UNIX (un Linux par exemple)
• applications à installer au préalable : Apache 2.2x, mod_ssl, OpenSSL
• configuration du serveur :
  • accès en entrée depuis l'extérieur sur ce serveur : HTTP (80), HTTPS (443)
  • un accès en sortie au serveur CAS car un client CAS sera installé au niveau du serveur (il n'est pas indispensable d'avoir un serveur CAS pour cette formation)
  • un accès en sortie à un annuaire LDAP car le fournisseur d'identités interroge l'annuaire pour obtenir des attributs
• demande de certificats auprès du CRU
• une ouverture à un accès SSH ou VPN (contactez-nous si vous avez besoin de la plage d'adresse IP utilisée lors de la formation)

1. Installation des pré requis
   1. Installation de Java
   2. Installation de Tomcat
   3. Configuration de ajp13
   4. Test Apache, Tomcat
   5. Installation du certificat et de la clé privée associée
   6. Vérification NTP
2. Installation de l'IdP Shibboleth
   1. Téléchargement, installation et déploiement
   2. Installation de l'exemple de configuration du CRU
3. Configuration IdP
   1. Edition de idp.xml
   2. Configuration de Apache
      1. Configuration pour le service SSO
      2. Configuration pour le service AA
   3. Configuration de resolver.xml
4. Test de votre IdP
   1. Enregistrement dans la fédération de test
   2. Test dans la fédération de test
5. Configuration avancée
   1. Branchement avec votre serveur CAS
   2. Configuration du resolver
      1. Processus de mise à jour des méta données
      2. Définition des attributs utilisateurs
      3. Premiers tests avec le resolvertest
      4. Configuration de l'ARP
      5. Transformation des attributs
         1. MappedAttributeDefinition
         2. CompositeAttributeDefinition
         3. ScriptletAttributeDefinition