====== Configuration shibboleth pour sympa ======

  * sympa : authentification avec shibboleth
    * http://www.sympa.org/manual_6.3/authentication#setting_up_a_shibboleth-enabled_sympa_server

===== Installation de shibboleth =====
 

[[documentation:shibboleth:shibboleth|Installation de shibboleth sur le serveur hébergeant sympa]] 


Fichier shibboleth.xml

  <ApplicationDefaults id="default"
    entityID="https://listes.grenoble-inp.fr"
    homeURL="https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater"
    signing="false" encryption="false">

===== Enregistrement dans la fédération Renater =====


https://services-federation.renater.fr/gestion?federation

^ URL du service | https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater/  | 
^ Public(s) concerné(s) par le service | communauté nationale (type UNT) ou internationale | 
^ Catégorie du service | outils collaboratifs |
^ Attributs | email authentification |  
^ entityID | https://listes.grenoble-inp.fr| 
^ Point d'accès (AssertionConsumer service)\\ pour le protocole SAML 1.0, profil browser-post | https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater/Shibboleth.sso/SAML/POST | 
^ index | 0 | 
^ Point d'accès (AssertionConsumer service)\\ pour le protocole SAML 2.0, profil http-post | https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater/Shibboleth.sso/SAML2/POST |
^ index | 0 | 
^ Certificat X.509 | copie de /etc/shibboleth/sp-cert.pem\\ sans ces deux lignes BEGIN CERTIFICATE et END CERTIFICATE |
^ Rattachement à une fédération | Fédération Education-Recherche |
^ Adresse directe  |  | 
===== Configuration Sympa =====
 
=== ~sympa/etc/auth.conf ===

  generic_sso
     service_name       Connexion_par_federation_Renater
     service_id         federation_renater
     http_header_list mail
     email_http_header  mail
     logout_url          https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater/Shibboleth.sso/Logout?return=http%3A%2F%2Flistes.grenoble-inp.fr/sympa


=== ~sympa/etc/web_tt2/fr_FR/loginbanner.tt2 ===

utiliser vim, puis :syntax on

Modification de l'interface de connexion au niveau des labels en français

  <div  id="Identity_not_connect">
        [% IF use_sso %]
      <form action="[% path_cgi %]" method="post">
        <fieldset>        

  <!-- ajout CB pour shib  --->
  <!--             <label for="auth_service_name">[%|loc%]To login, select your organization authentication server below:    [%END%]&nbsp;&nbsp;&nbsp;&nbsp;</label> -->
  <label for="sso_login">CONNEXION -- Service d'authentification : pour Grenoble INP -- Federation Renater : pour Grenoble INP et autres organismes</label>
            <label for="auth_service_name">puis connexion par le serveur d'authentification de votre organisme : &nbsp;&nbsp;&nbsp;&nbsp;</label>
  <!-- fin ajout CB pour shib  --->

      .....
     [% IF use_passwd == '1' %]
      .....
     <input type="hidden" name="action" value="login" />
      <label for="email_login"> - - - - EXTERIEURS a la FEDERATION RENATER - - - -  [%|loc%]email address:[%END%]</label>
     
=== ~sympa/etc/web_tt2/loginbanner.tt2 ===

Modification de l'interface de connexion au niveau des labels en anglais

  <div  id="Identity_not_connect">
        [% IF use_sso %]
      <form action="[% path_cgi %]" method="post">
        <fieldset>    
                <label for="sso_login"> - - - - Grenoble INP's Staff- - - -  either by  service d'authentification  - - or by Federation Renater - - - - - - For others </label>
         .....
            <label for="auth_service_name">[%|loc%]to login, select your organization authentication server :[%END%]&nbsp;&nbsp;&nbsp;&nbsp;</label>         
         .....       
   <label for="email_login"> - - - - EXTERNAL  to  the  RENATER's FEDERATION  - - - -  [%|loc%]email address:[%END%]</label>
   
<note tip>BUG : Attention ces fichiers ne sont pas pris en compte au niveau des robots</note>