relying-party.xml ファイルの確認(★)
ホスト名を修正します。(VMイメージ利用の場合)
ホスト名が正しいことを確認します。(貴学でインストールの場合)(★)
ヒント | ||
---|---|---|
| ||
・構築中のIdPのホスト名が正しく記述されていることを確認してください。 |
/opt/shibboleth-idp/conf/relying-party.xml ファイルを確認してください。(★)
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
学術認証フェデレーションのメタデータを自動的にダウンロードするために IdPのトラストアンカーの確認と必要なCA証明書の導入 のページを参照して必要なCA証明書が導入されていることをご確認ください。
学術認証フェデレーションのメタデータを自動的にダウンロードする設定をします。
ヒント | ||
---|---|---|
| ||
・学術認証フェデレーションのメタデータは、使用しません。 |
...
- 運用フェデレーション用メタデータ
https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml テストフェデレーション用メタデータ
https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml警告 title メタデータの読み込みについての注意点 運用フェデレーション用メタデータと、テストフェデレーション用メタデータを同時に読み込まないようにしてください。テストフェデレーションから運用フェデレーションへの移行時にテストフェデレーション用メタデータの自動読み込み設定を削除せず、運用フェデレーション用メタデータの自動読み込み設定を追記した場合に、両方のメタデータを読み込んだ状態となります。
運用フェデレーション用メタデータ・テストフェデレーション用メタデータの両方を自動読み込みする設定になっていると、意図せずテストフェデレーション用メタデータの情報が利用されることで運用フェデレーションSPとの認証でエラーが発生する可能性があります。
また、テストフェデレーションから運用フェデレーションへ同一entityIDで移行する場合には、テストフェデレーション側のIdPは廃止申請を行ってください。テスト用途でテストフェデレーションにIdPを登録する場合には運用フェデレーションと異なるentityIDで登録してください。
/opt/shibboleth-idp/conf/relying-party.xml ファイルを以下のように編集してください。(★)
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
← 自動ダウンロードのメタデータを参照する為、コメントアウト
← コメントアウト解除
← コメントアウト解除 |
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
...
(上記は運用フェデレーションの場合で、テストフェデレーションの場合はgakunin-test-signer-2011.cerをダウンロードして使用してください。詳しくはテストフェデレーションルールをご参照ください。
⇒テストフェデレーションルール)
/opt/shibboleth-idp/conf/relying-party.xml ファイルを以下のように編集してください。(★)
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
<!-- ========================================== -->
<!-- Security Configurations -->
<!-- ========================================== -->
<security:Credential <security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
<security:PrivateKey>/opt/shibboleth-idp/credentials/idp.key</security:PrivateKey>
<security:Certificate>/opt/shibboleth-idp/credentials/idp.crt</security:Certificate>
</security:Credential>
<!-- Trust engine used to evaluate the signature on loaded metadata. -->
<!-- --> ←コメントアウト解除
← コメントアウト解除 <security:TrustEngine id="shibboleth.MetadataTrustEngine" xsi:type="security:StaticExplicitKeySignature">
<security:Credential id="MyFederation1Credentials" xsi:type="security:X509Filesystem">
<security:Certificate>/opt/shibboleth-idp/credentials/gakunin-signer-2010.cer</security:Certificate>
</security:Credential>
</security:TrustEngine>
<!-- --> ←コメントアウト解除 ← コメントアウト解除 |
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
ヒント | ||
---|---|---|
| ||
・以下の作業は実習セミナーでは行う必要はありません(root権限で動作します)。 |
Tomcatを”tomcat”ユーザで実行する場合、Tomcatが自動取得したメタデータを保存できるよう、ディレクトリの所有者を変更します。
Tomcatを”tomcat”ユーザで実行する場合かつ当該ディレクトリの所有者が適切に設定されていない場合は、Tomcatが自動取得したメタデータを保存できるよう、ディレクトリの所有者を変更します。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
# chown -R tomcat /opt/shibboleth-idp/metadata/ |
Prevnextbuttons