IdPとのSP接続確認
...
※接続確認に使用する IdP の設定変更も必要となります。設定変更は IdP の管理者に依頼して下さい。
1. SP にテスト用のWebページを準備
...
...
・「/var/www/html/secure」配下に属性確認用のPHPファイルが既に配置済みです。
ファイル名は、index.phpです。
以下のような/var/www/html/secure/phpinfo.phpを作成します。
...
または、属性確認用の簡単なPHPプログラムをご利用下さい。 ダウンロード 説明
...
2. shibdとhttpdの再起動
...
...
接続確認前にshibdとhttpdを再起動します。
...
title | 実習セミナー |
---|
...
・初期設定で「/root/GETFILE」に取得している実習セミナー用のattribute-map.xml、
attribute-policy.xmlファイルを「/etc/shibboleth」配下にコピーし、デフォルト
のファイルを差し替えてください。
この設定ファイルは、実習セミナー内のIdPサーバから全属性値を受け取る設定と
なっています。
# /bin/cp -f /root/GETFILE/attribute-*.xml /etc/shibboleth/
設定ファイルを差し替えたら、shibdおよびhttpdを再起動してください。
パネル |
---|
|
展開 | ||
---|---|---|
|
...
| |||||||||
情報 | |||||||||
---|---|---|---|---|---|---|---|---|---|
CentOS 7の場合コマンドが異なります。
|
...
3. 構築したSPにアクセス
...
ヒント | ||
---|---|---|
| ||
・各自が構築したSPサーバへアクセスします。 |
https://example-sp.nii.ac.jp/secure/phpinfo.php
展開 | ||||||
---|---|---|---|---|---|---|
| ||||||
SPへのアクセス時にエラーSPにアクセスした際に、ブラウザに下記のエラーが出力されます。
SELinuxがenabledになっている場合、このメッセージが表示されます。 SELinuxを無効にしてください。 ログインボタンを押した際にエラー(エラー:無効なクエリです)SP画面にてログインを押した際に、ブラウザに下記のエラーが出力されます。
→/etc/shibboleth/shibboleth2.xmlファイルのentityID設定が間違っている場合に表示されます。 参考情報: SPセッティング - shibboleth2.xml ファイル(★) ログインボタンを押した際にエラー(サーバが見つからない)SP画面にてログインを押した際に、ブラウザに下記のエラーが出力されます。
→/etc/shibboleth/shibboleth2.xmlファイルのDSサーバ参照設定のURLが間違っている可能性があります。 |
...
4. DSのIdP選択画面が表示
...
DSのIdP選択画面で、対象となるテストIdPを選択します。(★)
※学認DSについての注意点:
一度選択したIdPが表示されている状態で、別のIdPを選択したい場合は、
「リセット」リンクをクリックすると選択可能な全てのIdPが表示されます。
ヒント | ||
---|---|---|
| ||
・実習環境内にある確認用のIdPサーバを選択します。 |
展開 | ||||
---|---|---|---|---|
| ||||
IdPを選択した際にエラー(shibsp::ConfigurationException)所属機関の選択画面にてIdPを選び「選択」ボタンを押した際に、ブラウザに下記のエラーが出力されます。
また、/var/log/shibboleth/shibd_warn.log に下記のエラーが出力されます。
→/etc/shibboleth/shibboleth2.xmlにてメタデータ署名検証用証明書の設定が間違っている可能性があります。 ファイルを参照下さい。 |
...
5. ログイン
...
IDとPasswordを入力してログインします。(★)
ヒント | title | 実習セミナー
---|
情報 |
・接続確認用ユーザ情報は、以下のようになっています。 ID:test001、パスワード:test001 ID:test002、パスワード:test002 ID:test003、パスワード:test003 何れかを使用して、ログインしてください。 |
ID, パスワードを入力してログインした後、表示される環境変数に、IdPで公開するように設定した値
(LDAPに保存されている eduPersonPrincipalNameなど)が含まれていることを確認します。
これが、IdPから渡されたユーザの属性情報となります。
...
6. メタデータ署名検証が正常に機能していることの確認
...
title | 実習セミナー |
---|
...
shibboleth2.xmlに設定した取得するメタデータを改竄されたものに変更して、適切に署名検証が失敗することを確認してください。
shibboleth2.xmlの以下の部分を修正し、shibdを再起動してください。(元がgakunin-test-metadata.xmlの場合はgakunin-test-metadata-tampered.xmlに修正してください)
...