目次 |
---|
IdP管理者に必要な情報
学認参加IdPがGakuNin mAPを利用するために必要な情報をまとめます。学認参加IdPがクラウドゲートウェイを利用するために必要な情報をまとめます。
注意 | ||||
---|---|---|---|---|
<!-- Policy for GakuNin mAP (Cloud Gateway) -->
<AttributeFilterPolicy id="PolicyforGakuNinmAP">
<PolicyRequirementRule xsi:type="OR">
<Rule xsi:type="Requester" value="https:// 2月22日2017年2月22日(水)にentityIDの変更を含めたサーバ移行を行います。下記に加えて にentityIDが変更になりました。 展開 | コード ブロック | | ||
| ||||
コード ブロック | ||||
|
まず、クラウドゲートウェイ (entityID: https://cg.gakunin.jp/shibboleth-sp
) に対して以下の属性を送信するようにしてください。
...
- グループメンバー情報を取得できるようにする
以下のようにShibboleth SPの設定ファイルを変更してください。動作確認は Shibboleth SP 2.6 で行っています。クラウドゲートウェイ (IdP)のメタデータを次のリンクから取得して /etc/shibboleth/metadata/ に保存してください。
cgidp-metadata.xml警告 2017年2月22日以前に設定されたかたは、アクセス先が変わっておりますので、最新のメタデータを用いてください。
以前、Gakunin mAP連携のためにshibboleth2.xmlに以下の1行を追加している場合は 削除 してください。
パネル <ProtocolProvider type="XML" validate="true" reloadChanges="false" path="protocols.xml"/>
<TransportOption provider="CURL" option="81">0</TransportOption>
</SPConfig>なお、メタデータ取得時のサーバ証明書検証(初期値ではいずれにしろ不完全です)については以下でご案内しておりますので、もし設定がまだのようであれば別途ご検討いただければと思います。
shibboleth2.xml ファイル の<TransportOption>の3行- shibboleth2.xmlの編集
/etc/shibboleth/shibboleth2.xml を編集します。クラウドゲートウェイ (IdP)メタデータの読み込み
a.でダウンロードしたメタデータを読み込むように設定します。他の<MetadataProvider>の後に下記を追加してください。コード ブロック xml xml <MetadataProvider type="XML" file="/etc/shibboleth/metadata/cgidp-metadata.xml"/>
SimpleAggregationの追加
通常の認証フローの後にeppnを手がかりとしてクラウドゲートウェイ (IdP)からisMemberOf属性を取得するよう、SimpleAggregation設定を行います。
既存の<AttributeResolver>の後に以下の記述を追加します。コード ブロック xml xml <AttributeResolver type="SimpleAggregation" attributeId="eppn" format="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"> <Entity> https://cg.gakunin.jp/idp/shibboleth </Entity> <!-- <saml:Attribute Name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="isMemberOf"/> --> </AttributeResolver>
情報 上記設定でコメントアウトしている部分は、現在のところmAP側で未対応です。後日対応予定です。
attribute-map.xmlの編集
/etc/shibboleth/attribute-map.xmlにisMemberOf属性の設定を行います。
最後の</Attributes>の直前に、以下の記述を追加してください。コード ブロック xml xml <Attribute name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" id="isMemberOf"/>
情報 以前の版では以下の行も含めるように書いておりましたが、標準に準拠しておりませんのでこの記述は削除してください。
コード ブロック xml xml <Attribute name="urn:mace:dir:attribute-def:isMemberOf" id="isMemberOf"/>
- attribute-policy.xmlの編集
他のIdPからのisMemberOf属性を拒否し、クラウドゲートウェイからのisMemberOfのみを利用する設定を行ないます。<!-- Catch-all that pases everything else through unmolested. -->
の直前に以下の記述を追加してください。
コード ブロック xml xml <afp:AttributeRule attributeID="isMemberOf"> <afp:PermitValueRule xsi:type="AttributeIssuerString" value="https://cg.gakunin.jp/idp/shibboleth"/> </afp:AttributeRule>
.
- 取得したisMemberOf属性を利用するようにサービスを変更する
例えば、isMemberOf属性には下記のような値が入ります。全てURI形式です。https://cg.gakunin.jp/sp/SPCID ← SPコネクタ名
https://cg.gakunin.jp/gr/GROUPID ← ユーザが参加しているグループ名
https://cg.gakunin.jp/gr/GROUPID/admin ← ユーザが当該グループの管理者の場合後者2つは、SPコネクタの設定で「グループ情報も取得する」を選択した場合のみ取得できます。
取得したisMemberOf属性のホスト部を参照しているプラグイン等を使用している場合は、shibboleth2.xmlに以下2箇所を追加してください。既存の<ApplicationDefaults> より前に記述を追加。
コード ブロック <OutOfProcess> <Extensions> <Library path="plugins.so" fatal="true"/> </Extensions> </OutOfProcess>
既存の<AttributeResolver> の後に記述を追加。
コード ブロック <AttributeResolver type="Transform" source="isMemberOf"> <Regex match="^https://cg.gakunin.jp/gr/(.+)$">https://map.gakunin.nii.ac.jp/gr/$1</Regex> </AttributeResolver>
SPに対応するSPコネクタを作成する
注意 以下の機能はまだ実装されておりませんので、権限が必要な方はお手数ですが下記メールアドレスまでご一報ください。
あなたが学認申請システムでSP管理者として申請し、かつePPNを登録している場合はSPコネクタを作成する権限を与えられているはずです。そうでない場合は までお問い合わせください。
SPコネクタ作成の詳細は、mAP利用マニュアルの「SPコネクタを作成する」の章をご参照ください。
.
...