1. はじめに
本メニューでは、IdPをカスタマイズします。
uApproveJP-3をインストールして実現します。
送信属性の選択を有効にする設定や送信属性同意機能に表示する属性の設定などを行います。
...
2. 実習セミナーでは
以下の手順で作業を進めてください。
...
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
実習セミナーでは、リレーショナルデータベースを用いたものとします。 事前準備として、以下のようにCentOS7の標準であるmariaDBをインストールし、起動させておいてください。事前準備として、以下のようにCentOS7の標準であるmariaDBをインストールし、 起動させておいてください。
※手順書内にあるファイルベースの説明は、読み飛ばしてください。
# yum install mariadb-server
# systemctl start mariadb
なお、実習では不要ですが実運用の場合は以下を実行してください。
なお、実習では不要ですが実運用の場合は以下を実行してください。(OS起動時の自動起動および、rootアカウントにパスワードを設定します)(OS起動時の自動起動および、rootアカウントにパスワードを設定します)
# systemctl enable mariadb
# mysql_secure_installation
|
...
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
uApproveJPのパッケージは、「3.手順書」に記載しています、設定手順書のリンク先「ユーザ同意取得システム:uApproveJPuApproveJPのパッケージは、「3.手順書」に記載しています、設定手順書のリンク先 「ユーザ同意取得システム:uApproveJP (Jet Pack)」のページより最新版のパッケージの のページより最新版のパッケージのダウンロードURLを確認し、wgetコマンドで取得して下さい。(バイナリファイル)ダウンロードURLを確認し、wgetコマンドで取得して下さい。(バイナリファイル)
例)最新版が3.2.0の場合 # wget https://meatwiki.nii.ac.jp/confluence/download/attachments/13501031/uApproveJP-3.2.0-bin.zip 手順書の記載に合わせて「/usr/local/src」配下に展開しておきます。 # unzip -d /usr/local/src uApproveJP-3.2.0-bin.zip |
・CentOS7環境に合わせたMySQLDataSourceの設定
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
手順書内にある「2.1.5. shibboleth.JPAStorageServiceの設定」の設定内容が一部CentOS7対応で 変更する必要があります。手順書に沿って変更した後に、以下の部分のみ再度変更してください。
/opt/shibboleth-idp/conf/global.xmlを編集します。 <bean id="shibboleth.MySQLDataSource"
class="org.apache.commons.dbcp.BasicDataSource"
p:driverClassName="com.mysql.jdbc.Driver"
p:url="jdbc:mysql://localhost:3306/shibboleth"
p:username="shibboleth"
|
・ローカライズ(日本語環境用メッセージファイル)
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
手順書内にある「2.3 ローカライズ」の日本語環境用のメッセージファイルテンプレートは以下のURLの ページにリンクがあるので、そこからダウンロードしてください。 ※実習セミナーではIdP3.2を使っていますので、IdP3.2用の3ファイルをダウンロードします。
例)IdP3.2の場合 # cd /opt/shibboleth-idp/messages/ # wget https://wiki.shibboleth.net/confluence/download/attachments/21660022/authn-messages_ja.properties
# wget https://wiki.shibboleth.net/confluence/download/attachments/21660022/consent-messages_ja.properties # wget https://wiki.shibboleth.net/confluence/download/attachments/21660022/error-messages_ja.properties |
...
/opt/shibboleth-idp/conf/attribute-filter.xmlを設定します
。
パネル |
---|
AttributeFilterPolicyGroupタグにuApproveJP用の設定を2箇所に追加します。
<AttributeFilterPolicyGroup id="ShibbolethFilterPolicyForGakuNinTestFed" xmlns="urn:mace:shibboleth:2.0:afp" xmlns:afp="urn:mace:shibboleth:2.0:afp" xmlns:basic="urn:mace:shibboleth:2.0:afp:mf:basic" xmlns:saml="urn:mace:shibboleth:2.0:afp:mf:saml"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:uajpmf="http://www.gakunin.jp/ns/uapprove-jp/afp/mf"
xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd
urn:mace:shibboleth:2.0:afp:mf:basic http://shibboleth.net/schema/idp/shibboleth-afp-mf-basic.xsd
urn:mace:shibboleth:2.0:afp:mf:saml http://shibboleth.net/schema/idp/shibboleth-afp-mf-saml.xsd http://www.gakunin.jp/ns/uapprove-jp/afp/mf http://gakunin.jp/schema/idp/gakunin-afp-mf-uapprovejp.xsd">
|
パネル |
---|
実習セミナーでは、「surname、givenName、mail、eduPersonAffiliation」をオプショナル属性とします。
以下のように4つの属性を全て変更してください。
例)surname属性の設定
<AttributeRule attributeID="surname"> <PermitValueRule xsi:type="uajpmf:AttributeInMetadata"
matchIfMetadataSilent matchIfMetadataSilent="true"
onlyIfRequired="false"
onlyIfChecked="true" /> </AttributeRule>
|
・Tomcatの再起動
Tomcatを再起動して、更新した設定ファイルを読み込ませます。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
# systemctl restart tomcat
|
...
3. 手順書
下記の設定手順書を参照し、作業を行います。
※リンク先のページを開くと、「インストールおよび設定方法」と記載されたリンクがあるので、
※リンク先のページを開くと、「インストールおよび設定方法」と記載されたリンクがあるので、そのリンクをクリックしてください。 そのリンクをクリックしてください。
※「1.5 カスタムテンプレート」は、読み飛ばして、「2.3 ローカライズ」まで行います。
※「2.4
AttributeInMetadataマッチングルール」については、本ページにある実習セミナーの設定を行います。AttributeInMetadataマッチングルール」については、実習セミナーの設定を行います。
※手順書内に記載されているtomcat再起動のコマンドは、CentOS7のものに置き換えてください。
(本ページの「2.実習セミナーでは」の「tomcat再起動」を参照) (「2.実習セミナーでは」の「tomcat再起動」を参照)
...
4. 動作確認
① 設定後、Tomcatの再起動を行ってない場合は行なってください。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
systemctl restart tomcat
|
② 各自が使用するSPの接続確認用ページにアクセスします。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
例)1番を割り振られた場合
https://ex-sp-test01.gakunin.nii.ac.jp/
|
③ ログインボタンをクリックします。
④ DSの所属機関の選択画面が表示されるので、各自が使用するIdPを選択します。
⑤ IdPのログイン画面が表示されるので、Username/Passwordを入力して認証を行います。
⑥ 送信可能な属性値の一覧画面が表示されるので、「次回ログイン時に再度チェックします。」
を選択し、同意ボタンをクリックします。
※オプション情報を全て選択せずに行います。(surname、givenName、mail、eduPersonAffiliation)
⑦ 属性受信の確認ページが表示されるので、オプション情報の属性が送信されてない事を確認します。
⑧ 一旦ブラウザを閉じ、再度ログインします。オプション情報の「surname」を選択し、同意ボタンを
クリックします。
⑨ 属性受信の確認ページで「surname」が正しく受信された事を確認してください。
※また、送信可能な属性値の一覧画面にある「同意方法の選択」を「このサービスに送信する情報が
変わった場合は、再度チェックします。」などに変更して、次回も送信属性同意確認が行われるか、
試してみてください。行わないようにした場合、ログイン画面にて「このサービスへの属性送信の同意
を取り消します。」というチェックが行えるので、チェックしてログインし、保存していた情報がクリアされ、
再度ログインを行った時に送信属性確認が行われるか確認してみてください。
試してみてください。(同意確認時の設定が保存されます)
保存した対象となるSPにアクセスしても同意確認が行われなくなるのですが、ログイン画面にて
「このサービスへの属性送信の同意を取り消します。」にチェックしてログインしてください。
すると、保存されていた情報がクリアされ、次にログインを行った時には、再度送信属性確認が
行われるようになります。