学認申請システムを使ってテストフェデレーションに参加する
1.
...
はじめに
本メニューでは、IdP・SPを学認申請システム(テストFed)を使用して、実際にテストフェデレーションへ登録します。本メニューでは、IdPサーバ・SPサーバを学認申請システム(テストFed)を使用して、
実際にテストフェデレーションへ登録します。
テストフェデレーションに関して、詳しくは「テストフェデレーションルール」を参照してください。
...
2. 実習セミナーでは
以下のような設定で行います。
手順書と照らし合わせながら、作業を進めてください。
...
・アカウント作成時のメールアドレスについて
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
ここで設定したメールアドレスに申請システムからの確認メールが届くので、
必ず使用可能なメールアドレスを設定してください。 |
・申請(IdP)entityID
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
例)1番を割り振られた場合
https https://ex-idp-test01.ecloudgakunin.nii.ac.jp/idp/shibboleth |
...
・申請(SP)entityID
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
例)1番を割り振られた場合
https://ex-sp-test01.ecloudgakunin.nii.ac.jp/shibboleth-sp |
...
・スコープについて
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
例)1番を割り振られた場合
ex-idp-test01.gakunin.nii.ac.jp |
・申請(IdP)証明書
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
# cat /opt/shibboleth-idp/credentials/server.crt |
・申請(SP)証明書
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
# cat /etc/shibboleth/cert/server.crt |
・DSからのリターンURL
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
事前に登録したOpenIdPのePPNを設定します。
→ "各自登録したID@openidphttps://ex-sp-testXX.gakunin.nii.ac.jp" の形式 |
...
・連絡先
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
ここで設定したメールアドレスに申請システムからの確認メールが届くので、
必ず使用可能なメールアドレスを設定してください。 |
...
ここに限りませんがメタデータとして公開されますので、個人メールアドレス等公開して問題のある情報を入力することは避けてください。身の回りに公開メールアドレス等適当なものがなければ、ご相談ください。 |
・その他の項目について
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
各自の名前、所属機関などを設定してください。 |
...
3.手順書
以下の手順書を参照し、作業を行います。
- 学認申請システム利用マニュアル(テストFed)
1. はじめに
2. 学認申請システムの利用のフロー
3. 初回の利用方法(新規IdP/SP申請)
...
4. 動作確認
以下の動作確認手順は、IdPサーバ・SPサーバを共に申請した場合です。
・構築SPとテストフェデレーションテスト用IdPの間での接続テスト
以下の動作確認手順は、IdP・SPの両方を参加させた場合です。
・構築SPとテストフェデレーションテスト用IdPの間での接続テスト
...
① 構築したSPのshibboleth2 構築したSPの/etc/shibboleth/shibboleth2.xmlにて、DSをテストフェデレーションのものに変更します。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
<Sessions lifetime="28800" timeout="3600" relayState="ss:mem"
checkAddress="false" handlerSSL="false" cookieProps="http"
redirectLimit="exact">
(省略)
<!-- Session diagnostic service. -->
<Handler type="Session" Location="/Session" showAttributeValues="false"/>
<!-- JSON feed of discovery information. -->
<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
<SessionInitiator
<SessionInitiator type="Chaining"
Location="/DS"
isDefault="true"
id="DS">
<SessionInitiator
<SessionInitiator type="SAML2"
template="bindingTemplate.html"/>
<SessionInitiator
<SessionInitiator type="Shib1"/>
<!-- <SessionInitiator type="SAMLDS" URL="https://ex-ds.ecloud.nii.ac.jp/WAYF"/ > -->
<SessionInitiator
<SessionInitiator type="SAMLDS"
URL="https://test-ds.gakunin.nii.ac.jp/WAYF"
/>
</SessionInitiator>
</
SessionInitiator>Sessions>
|
② テストフェデレーション検証用の証明書をテストフェデレーションメタデータ検証用の証明書を
https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-20112020.cer からダウンロードします。 からダウンロードします。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
cd
/etc/shibboleth/
cret
cert wget
https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-
20112020.cer
|
...
③ shibbleth2shibboleth2.xmlのメタデータと証明書を変更します。xmlのメタデータダウンロード元と証明書を変更します。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
<!--
<MetadataProvider type="XML" uri="https://ex-ds.ecloud.nii.ac.jp/fed/ex-fed-metadata.xml"
backingFilePath="federation-metadata.xml" reloadInterval="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
<MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/ex-fed.crt"/>
</MetadataProvider>
-->
Allows overriding of error template information/filenames. You can
also add your own attributes with values that can be plugged into the
templates, e.g., helpLocation below.
-->
<Errors supportContact="root@localhost"
helpLocation="/about.html"
styleSheet="/shibboleth-sp/main.css"/>
(省略)
<!-- Example of remotely supplied batch of signed metadata. -->
<!-- -->
<MetadataProvider type="XML" validate="true"
url
<!-- test fed-->
<MetadataProvider type="XML" uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
backingFilePath backingFilePath="federation-metadata.xml"
reloadInterval="7200">
<MetadataFilter
type="RequireValidUntil"
maxValidityInterval="1296000"/>
<MetadataFilter
type="Signature"
certificate="/etc/shibboleth/cert/gakunin-test-signer-
2011.cer"/>
</MetadataProvider> 2020.cer" verifyBackup="false"/>
<DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true"
attributeName="http://macedir.org/entity-category"
attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
attributeValue="http://refeds.org/category/hide-from-discovery" />
<TransportOption provider="CURL" option="64">1</TransportOption>
<TransportOption provider="CURL" option="81">2</TransportOption>
<TransportOption provider="CURL" option="10065">/etc/pki/tls/certs/ca-bundle.crt</TransportOption>
</MetadataProvider>
<!-- -->
<!-- Example of remotely supplied "on-demand" signed metadata. -->
<!--
<MetadataProvider type="MDQ" validate="true" cacheDirectory="mdq"
|
④ shibdおよびhttpdを再起動します。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
| service systemctl restart httpd
systemctl restart
service shibd
restart |
⑤ テストフェデレーションDSから接続テスト用IdPを選択します。
・各自構築したSPにアクセスします。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
例)1番を割り振られた場合
https://ex-sp-test01.ecloudgakunin.nii.ac.jp/ |
・ログインボタンをクリックします。
・テストフェデレーションDSの所属している機関リストから関東カテゴリの「GakuNin ・テストフェデレーションDSが表示されるので、所属している機関リストから関東カテゴリの「GakuNin テスト IdP」
(英語表示の場合はKantoカテゴ リの「GakuNin 英語表示の場合はKantoカテゴリの「GakuNin Test IdP」)を選択します。
・ログイン画面が表示され、ユーザtest001、パスワードtest001を入力して認証を行います。・ログイン画面が表示されるので、ユーザtest001、パスワードtest001を入力して認証を行います。
・正しく属性受信の確認ページが表示されます。
(IdPエンティティIDは”IdPエンティティIDが”https://test-idp1.gakunin.nii.ac.jp/idp/shibboleth”となっていることを確認してください)
...
・構築IdPとテストフェデレーションテスト用SPの間での接続テスト
① 構築IdPにて、テストフェデレーションメタデータ検証用の証明書を
https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-20112020.cer からダウンロードします。cer からダウンロードします。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
cd
/opt/shibboleth-idp/credentials
wget
https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-
20112020.cer
|
...
② relying-party.xmlのメタデータと証明書を変更します。/opt/shibboleth-idp/conf/metadata-providers.xmlのメタデータ自動ダウンロード設定を変更します。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
<
!--
<metadata:MetadataProvider ?xml version="1.0" encoding="UTF-8"?>
<MetadataProvider id="
URLMDShibbolethMetadata"
xsi:type="
metadata:FileBackedHTTPMetadataProvider"
metadataURL="https://ex-ds.ecloud.nii.ac.jp/fed/ex-fed-metadata.xml"
backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml">
-->
ChainingMetadataProvider"
(省略)
<!--
Example HTTP metadata provider. Use this if you want to download the metadata
from a remote source.
(省略)
<!-- -->
<MetadataProvider id="HTTPMetadata"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/gakunin-metadata-backing.xml"
metadataURL
<!-- test fed-->
<metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml">
...
<!--
<security:Certificate> /opt/shibboleth-idp/credentials/ex-fed.crt </security:Certificate>
-->
<!-- test fed-->
<security:Certificate> /opt/shibboleth-idp/credentials/gakunin-test-signer-2011.cer </security:Certificate > >
<MetadataFilter xsi:type="SignatureValidation" certificateFile="%{idp.home}/credentials/gakunin-test-signer-2020.cer" />
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D"/>
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
<!-- -->
|
③ jettyを再起動します。
③ tomcat再起動します。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
service httpdsystemctl restart
service tomcat6 restartjetty |
④ テストフェデレーションの接続テスト用SP https://test-sp1.gakunin.nii.ac.jp にアクセスします。
・ログインボタンをクリックします。
・テストフェデレーションDSの所属している機関から各自の承認済みのIdP名称があるかどうかを確認し、選択をします。
・IdPサーバのログイン画面が表示され、ユーザtest001、パスワードtest001を入力して認証を行います。
・正しく属性受信の確認ページが表示されます。
・構築SPと構築IdPとの間での接続テスト
・テストフェデレーションDSの所属している機関から「各自の構築したIdP名称」があるかどうかを確認し、選択をします。
(※ここで選択するIdPは GakuNin テスト IdPではありません)
・IdPのログイン画面が表示されるので、ユーザtest001、パスワードtest001を入力して認証を行います。
・正しく属性受信の確認ページが表示されることを確認してください。(本確認についてのみ、属性が全て"NOT RECEIVED"になっていても問題ありません。そうなっていることを確認した上で次の確認に進んでください。)
・構築SPと構築IdPとの間での接続テスト
① 各自構築したSPにアクセスします。① 各自承認済みのSPにアクセスします。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
例)1番を割り振られた場合
https://ex-sp-test01.ecloudgakunin.nii.ac.jp/ |
② ログインボタンをクリックします。
③ テストフェデレーションDSの所属している機関から各自の承認済みのIdPを選択します。テストフェデレーションDSの所属している機関から「各自の構築したIdP名称」を選択します。
④ IdPサーバのログイン画面が表示されるので、ユーザtest001、パスワードtest001を入力して認証を行います。 IdPのログイン画面が表示されるので、ユーザtest001、パスワードtest001を入力して認証を行います。
⑤ 正しく属性受信の確認ページが表示されることを確認してください。