ページ ツリー

比較バージョン

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

目次

IdP管理者に必要な情報

学認参加IdPがGakuNin mAPを利用するために必要な情報をまとめます。学認参加IdPがクラウドゲートウェイを利用するために必要な情報をまとめます。

map.gakunin.nii.ac.jp/shibboleth-sp

" /> <Rule xsi:type="Requester" value="

が設定されている場合は https://cg.gakunin.jp/shibboleth-sp

" /> </PolicyRequirementRule> <AttributeRule attributeID="eduPersonPrincipalName"> <PermitValueRule xsi:type="ANY" /> </AttributeRule> </AttributeFilterPolicy>  <!-- Policy for GakuNin mAP (Cloud Gateway) --> <afp:AttributeFilterPolicy id="PolicyforGakuNinmAP" xmlns:afp="urn:mace:shibboleth:2.0:afp"> <afp:PolicyRequirementRule xsi:type="basic:OR"> <basic:Rule xsi:type="basic:AttributeRequesterString" value="https://map.gakunin.nii.ac.jp/shibboleth-sp" /> <basic:Rule xsi:type="basic:AttributeRequesterString" value="https://cg.gakunin.jp/shibboleth-sp" /> </afp:PolicyRequirementRule> <afp:AttributeRule attributeID="eduPersonPrincipalName"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

に変更してください。


注意
<!-- Policy for GakuNin mAP (Cloud Gateway) --> <AttributeFilterPolicy id="PolicyforGakuNinmAP"> <PolicyRequirementRule xsi:type="OR"> <Rule xsi:type="Requester" value="https://

2月22日2017年2月22日(水)にentityIDの変更を含めたサーバ移行を行います。下記に加えて にentityIDが変更になりました。entityIDに https://cg.gakunin.jp/shibboleth-sp にも同じ属性を送信してください。必須のもののみ送る場合は以下のような設定をattribute-filter.xmlに追加してください。

展開
コード ブロック
languagexml
titleIdP 3.2以降向け
コード ブロック
languagexml
titleIdPバージョン2向け

まず、クラウドゲートウェイ (entityID: https://cg.gakunin.jp/shibboleth-sp) に対して以下の属性を送信するようにしてください。

...

  1. グループメンバー情報を取得できるようにする
    以下のようにShibboleth SPの設定ファイルを変更してください。動作確認は Shibboleth SP 2.6 で行っています。
    1. クラウドゲートウェイ (IdP)のメタデータを次のリンクから取得して /etc/shibboleth/metadata/ に保存してください。
      cgidp-metadata.xml

    2. 警告

      2017年2月22日以前に設定されたかたは、アクセス先が変わっておりますので、最新のメタデータを用いてください。

      パネル

          <ProtocolProvider type="XML" validate="true" reloadChanges="false" path="protocols.xml"/>

          <TransportOption provider="CURL" option="81">0</TransportOption>
      </SPConfig>

      なお、メタデータ取得時のサーバ証明書検証(初期値ではいずれにしろ不完全です)については以下でご案内しておりますので、もし設定がまだのようであれば別途ご検討いただければと思います。
      shibboleth2.xml ファイル の<TransportOption>の3行

    3. shibboleth2.xmlの編集
      /etc/shibboleth/shibboleth2.xml を編集します。
      • クラウドゲートウェイ (IdP)メタデータの読み込み
        a.でダウンロードしたメタデータを読み込むように設定します。他の<MetadataProvider>の後に下記を追加してください。

        コード ブロック
        xml
        xml
        <MetadataProvider type="XML" file="/etc/shibboleth/metadata/cgidp-metadata.xml"/>
      • SimpleAggregationの追加
        通常の認証フローの後にeppnを手がかりとしてクラウドゲートウェイ (IdP)からisMemberOf属性を取得するよう、SimpleAggregation設定を行います。
        既存の<AttributeResolver>の後に以下の記述を追加します。

        コード ブロック
        xml
        xml
        <AttributeResolver type="SimpleAggregation" attributeId="eppn" format="urn:oid:1.3.6.1.4.1.5923.1.1.1.6">
            <Entity> https://cg.gakunin.jp/idp/shibboleth </Entity>
        <!--
            <saml:Attribute Name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
                FriendlyName="isMemberOf"/>
        -->
        </AttributeResolver>
        
        情報

        上記設定でコメントアウトしている部分は、現在のところmAP側で未対応です。後日対応予定です。

    4. attribute-map.xmlの編集
      /etc/shibboleth/attribute-map.xmlにisMemberOf属性の設定を行います。
      最後の</Attributes>の直前に、以下の記述を追加してください。

      コード ブロック
      xml
      xml
      <Attribute name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" id="isMemberOf"/>
      
      情報

      以前の版では以下の行も含めるように書いておりましたが、標準に準拠しておりませんのでこの記述は削除してください。

      コード ブロック
      xml
      xml
      <Attribute name="urn:mace:dir:attribute-def:isMemberOf" id="isMemberOf"/>
      
    5. attribute-policy.xmlの編集
      他のIdPからのisMemberOf属性を拒否し、クラウドゲートウェイからのisMemberOfのみを利用する設定を行ないます。

      <!-- Catch-all that pases everything else through unmolested. -->

      の直前に以下の記述を追加してください。

      コード ブロック
      xml
      xml
      <afp:AttributeRule attributeID="isMemberOf">
          <afp:PermitValueRule xsi:type="AttributeIssuerString"
              value="https://cg.gakunin.jp/idp/shibboleth"/>
      </afp:AttributeRule>
      

      .

  2. 取得したisMemberOf属性を利用するようにサービスを変更する
    例えば、isMemberOf属性には下記のような値が入ります。全てURI形式です。

    https://cg.gakunin.jp/sp/SPCID ← SPコネクタ名
    https://cg.gakunin.jp/gr/GROUPID ← ユーザが参加しているグループ名
    https://cg.gakunin.jp/gr/GROUPID/admin ← ユーザが当該グループの管理者の場合

    後者2つは、SPコネクタの設定で「グループ情報も取得する」を選択した場合のみ取得できます。


    取得したisMemberOf属性のホスト部を参照しているプラグイン等を使用している場合は、shibboleth2.xmlに以下2箇所を追加してください。

    1. 既存の<ApplicationDefaults> より前に記述を追加。

      コード ブロック
           <OutOfProcess>
               <Extensions>
                   <Library path="plugins.so" fatal="true"/>
               </Extensions>
           </OutOfProcess>
      
    2. 既存の<AttributeResolver> の後に記述を追加。

      コード ブロック
               <AttributeResolver type="Transform" source="isMemberOf">
                   <Regex match="^https://cg.gakunin.jp/gr/(.+)$">https://map.gakunin.nii.ac.jp/gr/$1</Regex>
               </AttributeResolver>
  3. SPに対応するSPコネクタを作成する

    注意

    以下の機能はまだ実装されておりませんので、権限が必要な方はお手数ですが下記メールアドレスまでご一報ください。

    あなたが学認申請システムでSP管理者として申請し、かつePPNを登録している場合はSPコネクタを作成する権限を与えられているはずです。そうでない場合は までお問い合わせください。
    SPコネクタ作成の詳細は、mAP利用マニュアルの「SPコネクタを作成する」の章をご参照ください。
    .

...