...
※前提として、「クライアント証明書認証を使った認証」が実施済みであるとします。
本メニューでは、IdPとSPを共にカスタマイズします。
IdPには、ID/パスワード認証とクライアント証明書認証を使って、セキュリティレベルに応じた認証方式を設定します。
またSPには、認証のセキュリティレベルを設定します。
上記の設定により、セキュリティレベルが低くて問題ないSPにはID/パスワード認証でアクセスが行えるが、
セキュリティレベル高いSPにアクセスした場合、認証済みであってもクライアント証明書認証などセキュアな
認証方式を行わなければアクセスできないようになります。
なお、本メニュー(認証フローの階層化)に依らなくても、SP側でIdPのgeneral-authnなお、本メニュー(認証フローの階層化)に依らなくても、SP側でIdPのauthn.xmlに記載されているURIを直接指定する(SP設定の propertiesに記載されているURIを直接指定する(SP設定の ShibRequestSetting authnContectClassRef ...
に指定する)ことによってIdPが定義している特定の認証手段を用いることを強制することは可能です。ただしSP側がIdPの設定内容を熟知している必要があります。
...
実習セミナーでは、ID/パスワードと証明書の2つの認証方式で確認します。
以下のように
手順書内では、/opt/shibboleth-idp/conf/idp.propertiesとなっていますが、/opt/shibboleth-idp.propertiesを変更します。/conf/authn/authn.propertiesを以下のように変更します。
※「X509」及び「Level3」の設定は、行いません。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
また、その他においても/opt/shibboleth-idp/conf/authn/authn.propertiesを手順書に沿って変更します。
※Level3の設定を除いた、Level1~Level2の設定とします。「X509」に関する設定は不要です。
...
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
④ DSの設定を行っている場合、所属機関の選択画面が表示されるので、各自が使用するIdPを選択します。
⑤ 証明書認証用のログイン画面が表示されるので、RemoteUserボタン(クライアント証明書)をクリックします。⑥ 個人証明書の要求というダイアログが表示されるので、対象となるクライアント証明書を選択して、
OKボタンをクリックします。
※送信属性同意画面が表示される場合は、そのまま設定値を送信しします。
⑦ ⑥ 正しく属性受信の確認ページが表示される事を確認してください。
※ID/パスワードを入力するログイン画面は表示されず、クライアント証明書で認証が行われ、
ログインする事ができます。
⑧ ⑦ 次に動作確認用のSPにアクセスし、認証要求がなくシングルサインオンにてログインできます。
⑨ ⑧ 一度ブラウザを閉じて、再度動作確認用のSPにアクセスします。
⑩ ⑨ セキュリティレベルが動作確認用SPには設定されていないため、進めていくとデフォルト設定の
Loginボタン(ID/パスワード)となります。ID/パスワードを入力してログインしてください。
⑪ ⑩ 次に各自が作成したSPにアクセスします。今回はシングルサインオンとして認証済みですが、
アクセスレベルが動作確認用SPよりも高いため、証明書認証が要求されます。
⑫ ⑪ 認証後、正しく属性受信の確認ページが表示される事を確認してください。
...