比較バージョン

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。
警告

Shibboleth IdP 4.1以降では本体にTOTPプラグインがモジュールとして提供されておりますので、そちらの使用をお勧めします。本ページは本来41以降では本体にTOTPプラグインがモジュールとして提供されておりますので、そちらの使用をお勧めします。本ページは本来4.0.x向けのものであり、4.1にて動作するように設定手順を修正したものです。

...

コード ブロック
languagexml
        <bean id="authn/Totp" parent="shibboleth.AuthenticationFlow"
                p:passiveAuthenticationSupported="true"
                p:forcedAuthenticationSupported="true">
            <property name="supportedPrincipals">
                <util:list>
                    <bean parent="shibboleth.SAML2AuthnContextClassRef"
                        c:classRef="urn:mace:gakunin.jp:idprivacy:oasis:names:tc:SAML:2.0:ac:classes:Level2TimeSyncToken" />
<!--
                    <bean parent="shibboleth.SAML2AuthnContextClassRef"
                        c:classRef="urn:mace:gakunin.jp:idprivacy:ac:classes:Level1Level2" />
                    <bean parent="shibboleth.SAML2AuthnContextClassRef"
                        c:classRef="urn:oasismace:names:tc:SAML:2.0gakunin.jp:idprivacy:ac:classes:TimeSyncTokenLevel1" />
-->
                </util:list>
            </property>
        </bean>

他の課題の他の活用編メニューにてLevel1/Level2の認証強度の設定を実施済みの場合は、コメントアウトを解除してTOTPをLevel2相当としてください。


conf/authn/authn.propertiesにパスワードを持ち回る必要があるため以下の行を修正します。

...

  1. 上記登録直後はワンタイムパスワード入力画面になりますが、入力せずに、再度接続確認用SPから各自が使用するIdPを選択します。
  2. 第一画面は通常と変わりませんので、通常のUsername/Passwordを入力して次に進みます。
  3. "Token code"というワンタイムパスワードを入力する画面になりますので、TOTP対応アプリ/デバイスに表示されている数字6桁のワンタイムパスワードを入力して次に進みます。
  4. 通常通り送信属性同意画面および属性受信の確認ページが表示されます。
  5. ページ下部の「セッション情報」をクリックして、以下のように認証手段がパスワード認証時と異なることを確認してください。

    パネル

    Authentication Context Class: urn:oasis:names:tc:SAML:2.0:ac:classes:TimeSyncToken

    (もしくは他の活用編メニューを実施していればLevel1ないしLevel2)