ここでは、新しいシステム運用基準(Ver.1.1?)(2010年11月29日公開)から新たに要求されている、メタデータに記載された有効期限(validUntil)に従うようにIdP/SPを設定する方法を説明します。
...
IdP/SP側では、validUntilチェックを有効化するとともに、validUntilとして受け入れることが可能な最長期間を設定します。メタデータ更新時のタイミングを考慮して、15日間(1296000秒, "P15D")を設定します。つまり、validUntilが過去のものを拒否するだけではなく、15日間以上未来のものも不正なものとして拒否します。
...
以下に記載したIdP/SP向けの設定方法は、現行の技術ガイドにすでに取り込まれておりますので、技術ガイドに従って構築した場合は追加の作業は不要です。
...
IdPの設定方法
relying-party.xmlにおいて,以下のようにvalidUntilのためのMetadataFilterの設定を有効にします.赤字の部分がコメントアウトされている場合は,有効化して下さい.
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
<MetadataProvider id="URLMD" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" |
...
maxValidityIntervalには,validUntilとして受け入れることが可能な,最長期間を設定します.学認の場合は,validUntilが14日間であるため,メタデータ更新時のタイミングを考慮して,15日間(1296000秒)を設定して下さい.この設定が不適切だと,メタデータダウンロード時に以下のようなエラーになりIdPが立ち上がりません(1296000を129600とした場合のエラー例).
書式設定済み | ||||||
---|---|---|---|---|---|---|
| ||||||
ERROR [edu.internet2.middleware.shibboleth.common.config.BaseService:187] - Configuration was not loaded for shibboleth.RelyingPartyConfigurationManager service, error creating components. The root cause of this error was: org.opensaml.saml2.metadata.provider.FilterException: Metadata's validity interval, 1073358297ms, is larger than is allowed, 129600000ms. |
...
参考URL: https://wiki.shibboleth.net/confluence/display/SHIB2/IdPMetadataProvider...
...