...
- on récupère les attributs utilisateurs de shibboleth, et éventuellement d'une BD sql
- les groupes/rôles sont construits via des règles sur les attributs utilisateurs directement
Les serveurs ESUP-SGC et ESUP-NFC-TAG sont shibbolethisés, leurs déclarations en tant que Service Provider dans la fédération d'identités Renater est donc obligatoire ?
Non, rien n'oblige à déclarer vos serveurs ESUP-SGC et ESUP-NFC-TAG en tant que service provider dans la féréation d'identités (de production comme de test) Renater - https://services.renater.fr/federation/
Pour des raisons de tests, de développements ... si vous souhaitez notamment restreindre l'accès à ces serveurs, celà peut être plus simple/pratique/rapide de ne pas le faire en se contentant d'une approbation interne entre votre SP ESUP-SGC / ESUP-NFC-TAG et votre IdP (qui peut tout à fait être votre Idp de production).
Techniquement c'est par exemple ce qui est fait dans la VM de démonstration, VM embarquant un IdP shibboleth ; vous y retrouverez donc un exemple de telles configurations : VM ESUP-SGC
Si vous souhaitez par contre proposer un SGC multi-établissements de l'ESR, en permettant à des extérieurs issus d'autres établissements de demander des cartes avec leurs propres comptes d'établissements ; ou encore si vous voulez permettre l'intégration / importation de cartes d'SGC d'autres établissements dans votre propre SGC, déclarer votre SGC dans la fédération d'identités Renater est une bonne option.
Qu'est-ce qu'un thème dans ESUP-SGC ?
...