IdPとのSP接続確認

...

※接続確認に使用する IdP の設定変更も必要となります。設定変更は IdP の管理者に依頼して下さい。

1. SP にテスト用のWebページを準備

...

...

・「/var/www/html/secure」配下に属性確認用のPHPファイルが既に配置済みです。
　ファイル名は、index.phpです。

 　以下のような/var/www/html/secure/phpinfo.phpを作成します。

...

 または、属性確認用の簡単なPHPプログラムをご利用下さい。　ダウンロード 説明

 

...

2. shibdとhttpdの再起動

...

...

 接続確認前にshibdとhttpdを再起動します。 

...

...

・初期設定で「/root/GETFILE」に取得している実習セミナー用のattribute-map.xml、
　attribute-policy.xmlファイルを「/etc/shibboleth」配下にコピーし、デフォルト
　のファイルを差し替えてください。
　この設定ファイルは、実習セミナー内のIdPサーバから全属性値を受け取る設定と
　なっています。
　# /bin/cp -f /root/GETFILE/attribute-*.xml /etc/shibboleth/
　設定ファイルを差し替えたら、shibdおよびhttpdを再起動してください。

...

　# service shibd restart
　# service httpd 

restart

# systemctl restart httpd

...

3. 構築したSPにアクセス

...

https://example-sp.nii.ac.jp/secure/phpinfo.php

shibsp::ListenerException

The system encountered an error at Wed Aug 17 19:09:20 2016

To report this problem, please contact the site administrator at
root@xxxxx.

Please include the following message in any email:

shibsp::ListenerException at (https://xxx.xxxxx.xx.xx/secure)

Cannot connect to shibd process, a site adminstrator should be notified.

エラー: 無効なクエリです
The Service Provider 'https://xxx.xxx.xx.xx/xxx' could not be found in metadata and is therefore unknown.

IE:
このページは表示できません
Web アドレス https://xxx.xxx.xxx.xx が正しいか確かめてください。


Firefox:
サーバが見つかりませんでした
xxx.xxx.xxx.xx という名前のサーバが見つかりませんでした。

...

4. DSのIdP選択画面が表示

...

　DSのIdP選択画面で、対象となるテストIdPを選択します。（★）

※学認DSについての注意点：
　　一度選択したIdPが表示されている状態で、別のIdPを選択したい場合は、
　　「リセット」リンクをクリックすると選択可能な全てのIdPが表示されます。

ヒント
title 実習セミナー
・実習環境内にある確認用のIdPサーバを選択します。 　実習セミナー接続確認用IdP

 

展開
title よくあるエラー
IdPを選択した際にエラー（shibsp::ConfigurationException）　 所属機関の選択画面にてIdPを選び「選択」ボタンを押した際に、ブラウザに下記のエラーが出力されます。 書式設定済み shibsp::ConfigurationException The system encountered an error at Tue Jan 01 00:00:00 2013 To report this problem, please contact the site administrator at root@localhost. Please include the following message in any email: shibsp::ConfigurationException at (https://ex-sp-testxx.gakunin.nii.ac.jp/Shibboleth.sso/DS) No MetadataProvider available. また、/var/log/shibboleth/shibd_warn.log に下記のエラーが出力されます。 書式設定済み 2013-01-01 00:00:00 ERROR OpenSSL : error code: 33558530 in bss_file.c, line 355 2013-01-01 00:00:00 ERROR OpenSSL : error data: fopen('/etc/shibboleth/cert/xxxx.cer','r') 2013-01-01 00:00:00 ERROR OpenSSL : error code: 537346050 in bss_file.c, line 357 2013-01-01 00:00:00 ERROR OpenSAML.Metadata : caught exception while installing filters: Unable to load certificate(s) from file (/etc/shibboleth/cert/xxxx.cer). →/etc/shibboleth/shibboleth2.xmlにてメタデータ署名検証用証明書の設定が間違っている可能性があります。 　実習セミナー環境での当該証明書は「ex-fed.crt」となっています。ファイルが指定場所にあるか、ファイル名が間違っていないか確認ください。 　テストフェデレーション、運用フェデレーションにおける当該証明書については技術ガイドのSPセッティング － shibboleth2.xml ファイル（★） ファイルを参照下さい。

 

...

5. ログイン

...

　IDとPasswordを入力してログインします。（★）

　ID, パスワードを入力してログインした後、表示される環境変数に、IdPで公開するように設定した値
  (LDAPに保存されている eduPersonPrincipalNameなど)が含まれていることを確認します。
  これが、IdPから渡されたユーザの属性情報となります。

...

6. メタデータ署名検証が正常に機能していることの確認

...

...

 shibboleth2.xmlに設定した取得するメタデータを改竄されたものに変更して、適切に署名検証が失敗することを確認してください。

shibboleth2.xmlの以下の部分を修正し、shibdを再起動してください。（元がgakunin-test-metadata.xmlの場合はgakunin-test-metadata-tampered.xmlに修正してください）

...