...
Shibboleth SPでの記述例
AAL2を要求する記述例
| コード ブロック | ||
|---|---|---|
| ||
<Location /restricted-attrviewer/ialaal.php>
ShibRequestSetting authnContextClassRef https://www.gakunin.jp/profile/AAL2
</Location> |
IAL2を受信する記述例
| コード ブロック | ||
|---|---|---|
| ||
$ary = preg_split("/(?<!¥¥¥);/", $_SERVER["assurance"]);
foreach ($ary as $val) {
if ($val == "https://www.gakunin.jp/profile/IAL2") {
....
}
} |
AAL2を受信(要求に応えるのはSAML的にMUSTだが念の為)
| コード ブロック | ||
|---|---|---|
| ||
if ($_SERVER["Shib-AuthnContext-Class"] == "https://www.gakunin.jp/profile/AAL2") { |
...
- MultiFactor認証フロー(MFA)を用いた認証設定
https://meatwiki.nii.ac.jp/confluence/x/UJSPAQ- これは、SPからの要求に合わせてIdPが持っている複数のログインフロー(認証手段)から適切なものを組み合わせて実行するもの
- 以下の識別子で挙動を変える例を提示している
urn:mace:gakunin.jp:idprivacy:ac:classes:Level1
urn:mace:gakunin.jp:idprivacy:ac:classes:Level2
urn:mace:gakunin.jp:idprivacy:ac:classes:Level3
- 認証フローは別途用意しなければならない。例えば:
- パスワード認証
- TLSクライアント証明書認証https://meatwiki.nii.ac.jp/confluence/x/34W5
- TOTP認証https://shibboleth.atlassian.net/l/c/DH9FeWJv
- tiqr認証https://meatwiki.nii.ac.jp/confluence/display/tiqr
など
- 他のIdPにプロキシする場合などは設定方法が異なる
IAL2について:
- eduPersonAssurance
...
- 属性の設定は通常の属性と同じ
AAL2利用シナリオ例:ステップアップ認証パターン
...
- IdPIAL2AAL2対応.docx(Wordファイル)
東京大学での試行における技術情報提供:
- Shibboleth単体ではなく、Microsoft ADFSで多要素認証を行いShibboleth IdPと連携して属性送出を行うことを試みています。
- NIIオープンフォーラム2022発表資料
(オープンフォーラム内次世代認証連携における学認のポリシとサービス技術トラックにおけるパネルディスカッションより)