...
2.1 IdPへの設定例
学認参加IdPへの設定例は以下のとおりです。(2017/9/25修正 Shibboleth IdP v3.2以降対応板)
※2017/9/19以前の記述はIdPv3系では正常に動作しない可能性がございます。
※2017/9/20更新版では、IdP v3.2系列で動作しない可能性がありますので、現在のバージョンに差し替えてください。こちらは3.2および3.3の両系列で動作します。
※Shibboleth IdP v3.1以前をご利用の場合は、IdPをアップデートいただくか、適宜読み替えて設定してください。
...
本サービスサイトからログインを行うと まず学術認証フェデレーションの認証が要求されます。 認証が成功すると、メニューが表示されます。管理者としてログインした場合は、以下の「管理者機能」のメニューが追加されます。
- 所属機関の発行アカウント状況確認機能 (2020年2月機能追加2020年2月より)
- 所属機関の学生アカウント発行可否設定機能
- 所属機関の学生アカウント継続確認機能
- 所属機関の学生アカウント利用期間上限設定機能
- 所属機関の学生アカウントのレルム区別設定機能 (2020年2月より利用可能2020年2月より)
- 所属機関の本人用アカウント発行数上限設定機能
- ビジター用アカウント発行数上限設定機能(利用範囲制限なしに対応)
- ビジター用アカウント発行数上限一時緩和機能
3.1. 所属機関の発行アカウント状況確認機能
...
<IdPのentityID>!https://federated-id.eduroam.jp/shibboleth-sp/!ABCDEF1234567890
となります。
機関管理者は、当該機関に属する利用者が発行したアカウントの失効を行うことができますが、機関管理者がアカウントを失効させた場合は、失効を行った管理者に関する情報が記録されます(2018/10/29機能追加)。機関管理者は、当該機関に属する利用者が発行したアカウントの失効を行うことができますが、機関管理者がアカウントを失効させた場合は、失効を行った管理者に関する情報が記録されます(2018年11月より)。
なお、有効期限が切れているアカウントは、すでに無効となっているため、失効操作はできません。
...
一覧表示では改ページの機能は実装されておりませんが、1万件表示して支障がないことを確認しています。多数のアカウントの一覧表示に関して支障が発生するようであればお知らせください。
(2020年2月追より機能提供) 「有効アカウントの一括取得」サブメニューより、有効アカウントの一覧をCSVでダウンロードできます(ダウンロードするアカウントの条件を指定してフィルターをかけることができます)。また、「アカウントの一括失効」サブメニューより、CSVをアップロードすることで、一括失効を行うことができます。一括失効したいアカウントの指定は、サブメニューより、CSVをアップロードすることで、一括失効を行うことができます。一括失効したいアカウントの指定は、ダウンロードしたCSVの1列目のフラグを1にしてアップロードすることで行います。(2020年2月より)
3.2. 所属機関の学生アカウント発行可否設定機能
...
学生に対して、年度ごとの継続確認を行う場合に利用します。「学生アカウント継続確認開始機能」を実行してから「学生アカウント継続確認終了機能」を実行するまでの間、学生がログインした場合に、継続確認が行われます。学生の利用者が継続確認期間中にログインすると、その時点で有効なeduroamのアカウントがある場合に、継続確認を促すメッセージが表示され、「継続利用」か「失効」かを選択します。継続確認期間終了後に、確認がなされなかった、あるいは、失効を選択した学生利用者が発行したアカウントについて、一斉失効が行われます。管理者が「学生アカウント継続確認開始機能」をクリックすると、学生利用者に対して、継続確認を行う期間等を通知するためのメッセージが入力できます。このメッセージは、前述の学生の利用者が継続確認期間中にログインした際に表示される、継続確認を促すメッセージとともに表示されます(2018/10/29機能追加)。
管理者が「学生アカウント継続確認開始機能」をクリックすると、学生利用者に対して、継続確認を行う期間等を通知するためのメッセージが入力できます。このメッセージは、前述の学生の利用者が継続確認期間中にログインした際に表示される、継続確認を促すメッセージとともに表示されます(2018年11月より)。
3.4. 所属機関の学生アカウント利用期間上限設定機能
3か月から1年までの間で1か月単位で設定することが可能です。初期値は3か月です。
3.5.
...
所属機関の学生アカウントのレルム区別設定機能
学生が発行するアカウントのレルムと、教職員が発行するアカウントのレルムを区別できるようにします。区別を有効にした場合、教職員に対しては、従来通りレルムとして「DDD.f.eduroam.jp」が用いられますが、学生に対してはレルムとして「DDD.s.eduroam.jp」 が利用されます。これにより、たとえば機関内での学生と教職員の接続先ネットワークを別にするなどの制御に活用することができます。管理者メニューで設定を変更すると、それ以降に発行される学生のアカウントのレルムが変更されます。発行済みのアカウントは元のレルムのまま有効ですので、必要に応じて失効処理と再発行依頼をしてください(2020年2月より機能提供)(2020年2月より)。
3.6. 所属機関の本人用アカウント発行数上限設定機能
機関毎に設定することが可能です。初期値は10です。
(0にすることでビジター用アカウントのみ発行可能とすることができます。)0を指定することでビジター用アカウントのみ発行可能とすることができます。(2022年4月より)
3.7. ビジター用アカウント発行数上限設定機能
各利用者(教職員に限る)がビジター用に発行可能な(同時に有効な)アカウント数の上限(最大有効期間1週間、最大有効期間1か月、それぞれについて)をシステム上で直接設定できます。初期値は、いずれも0です(発行不可)。最大有効期間1か月のアカウント数の上限のみを設定することも可能です。
3.8. ビジター用アカウント発行数上限一時緩和機能
大きな会議の開催時など、まとまった数のビジター用アカウントが必要な場合に、特定の利用者(教職員に限る)に対して、発行できる(同時に有効な)ビジター用アカウントの数を一時的に緩和させることができます(アカウント発行時に指定可能な最大有効期間は1か月でしたが、2021年4月からは最大有効期間を1年に緩和しました)。通常時のビジター用アカウントの発行は不可としつつ、発行数上限一時緩和機能を用いて、一時的に特定の利用者にビジター用アカウントの発行を許可することも可能です。大きな会議の開催時など、まとまった数のビジター用アカウントが必要な場合に、特定の利用者(教職員に限る)に対して、発行できる(同時に有効な)ビジター用アカウントの数を一時的に緩和させることができます(アカウント発行時に指定可能な最大有効期間は1か月でしたが、2021年4月からは最大有効期間を1年に緩和しました)。通常時のビジター用アカウントの発行は不可としつつ、発行数上限一時緩和機能を用いて、一時的に特定の利用者にビジター用アカウントの発行を許可することも可能です。
一時緩和する際は、以下の入力項目を設定します。
- 上限緩和有効化パスワード:利用者がこのパスワードを投入することで、一時的な緩和が有効になります。(通常時の個人管理のビジター用アカウントは発行できなくなります。発行済みのビジター用アカウントは継続して有効です。)緩和状態は、機関管理者がこの設定を削除するまで継続して有効です(利用者が自身で解除することはできません)。一度設定されたパスワードの変更はできません。変更のためには一旦削除して再設定してください。
- 発行数上限緩和値:一時的に緩和する発行数の上限を指定します。パスワードを投入した利用者による平常時に発行済みの個人管理のビジター用アカウントの数は積算されません。最大1000まで指定可能です。なお、管理者が緩和設定を解除した後は、緩和適用中に発行されたビジター用アカウントの数は、個人管理のビジター用アカウント数には積算されません。再度異なる緩和設定の適用を受けた場合、前回の緩和設定によって発行されたビジター用アカウントの数は積算されません。
- 緩和可能ユーザ数:パスワードを投入することで、この緩和設定が適用される利用者数の上限を指定します。一般には1を指定します(最大30)。
- 利用範囲制限なしアカウント作成:「許可」を選択すると、アカウント発行機関限定の利用範囲制限がかからないアカウントも発行することが可能となります。「禁止」を選択すると、これまで通り、利用範囲制限のあるアカウントのみの発行となります(2019年4月より機能提供)利用範囲制限なしアカウント作成:「許可」を選択すると、アカウント発行機関限定の利用範囲制限がかからないアカウントも発行することが可能となります。「禁止」を選択すると、これまで通り、利用範囲制限のあるアカウントのみの発行となります(2019年4月より)
- メモ:この緩和設定によって発行されるビジター用アカウントの用途(会議名)などを記載しておくために利用できます。
機関管理者は設定を行った後、パスワードを、まとまった数のビジター用アカウントを発行したい利用者に通知してください。パスワードを受け取った利用者は、ビジター用アカウントの発行済みアカウント確認画面でパスワードを投入することで、緩和設定が適用されます。パスワード入力フィールドは、緩和設定が存在している場合にのみ出現します。(一度、パスワードを投入して緩和設定が有効になると、さらなるパスワードの投入はできなくなります。別のパスワードを投入して、別の緩和設定に切り替えることはできません。)緩和設定適用済みのユーザには、ビジター用アカウント発行機能のメニュー画面などで、その旨が表示されます。
3.9 ビジター用アカウントの利用範囲制限
ビジター用アカウントの利用範囲制限が適用されます(2018年4月より)。原則として、ビジター用アカウントを発行した機関のネットワークでのみ利用可能となりますが、複数の機関にまたがって利用させたい等のご要望がある場合は、ご相談ください(必ずしもご要望にお応えできるとは限りません)。
ビジター用アカウント発行数上限一時緩和機能において許可することにより、利用範囲制限のないアカウントの発行も可能となります(アカウント発行時に選択できるようになります、 2019年4月より)。2018年4月よりeduroam JPのシステム更新が行われ、接続先を新システムに移行したところから順次、ビジター用アカウントの利用範囲制限が適用されます。原則として、ビジター用アカウントを発行した機関のネットワークでのみ利用可能となりますが、複数の機関にまたがって利用させたい等のご要望がある場合は、ご相談ください(必ずしもご要望にお応えできるとは限りません)。 2019年4月より、ビジター用アカウント発行数上限一時緩和機能において許可することにより、利用範囲制限のないアカウントの発行も可能となります(アカウント発行時に選択できるようになります)。
...
注意事項
管理者としてログインするためには、eduPersonEntitlement属性を適切に設定する必要があります。
管理者としてログインするためのNIIへの申請等は必要ありません。
...