...
Les déclarations DNS qui doivent pointer (CNAME) vers un de nos serveurs. des serveurs de l'AMU pour formations-rh-admin.univ-fr et formations-rh.univ.fr
...
Mettre au carré votre Shibboleth. Oui, c'est la partie la plus importante, voici , qui va probablement vous demander le plus de temps, car vous aurez peut être besoin d'ajouter des attributs dans le LDAP. Voici donc les attributs demandés:
mail
mobile Facultatif
eduPersonAffiliation
eduPersonPrimaryAffiliation
employee|faculty|staff..
eduPersonPrincipalName / eppn Permet de discriminer l'établissement au sens Shibboleth
supannEntiteAffectation
identifiants du service
supannActivite
{BAP}E
supannEmpCorps Voir BCN MEN, permet de construire les catégories A/B/C en fonction de cette information
{NCORPS}830
supannCivilite
M.|Mme
supannOIDCDateDeNaissance
1981-11-02
postalAddress
postalAddress Facultatif si vous avez..
telephoneNumber Idem
sn
Dupont
givenName
Jean
amuStatut
C|T|H|D Contractuel Titulaire Hébergé Doctorant
Il faut penser à mettre à jour côté IDP votre attribute-filter.xml et attribute-resolver.xml pour les attributs supann 2019
amuStatut est un attribut AMU, car supann n'a pas standardisé cette information. Mais vous pouvez l'ajouter à votre schéma LDAP. Il peut contenir les valeurs suivantes:
- T pour titulaire
- C pour contractuel
- H hébergé
- V pour vacataire
- D pour doctorant
- R retraité
Voici sa déclaration IDP dans attribute-resolver.xml
<resolver:AttributeDefinition id="amuStatut" xsi:type="ad:Simple" sourceAttributeID="amuStatut">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML1String"
name="urn:mace:cru.fr:attribute-def:amuStatut" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String"
name="urn:oid:1.3.6.1.4.1.7135.1.3.131.3.37" friendlyName="amuStatut" />
</resolver:AttributeDefinition>
Et pour le LDAP:
attributetype ( 1.3.6.1.4.1.7135.1.3.131.3.37 NAME 'amuStatut'
DESC 'Statut du personnel H T C'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{1} )
Vérifications sur un uid qui contient tous les attributs nécessaires:
/opt/shibboleth-idp/bin/aacli.sh -u=https://idp.univ.fr/idp -r=https://formations-rh.univ.fr -n=uid --configDir=conf/
Vous devez voir la liste de tous les attributs demandés au travers de la fédération RENATER.
Accès SQL
On peut vous ouvrir un accès SQL en lecture sur la base. Il faut pour cela nous donner les réseaux qui peuvent interroger.
Screenshots
Lien vers le code source et le README
...