学内システムとして構築する場合の設定
本技術ガイドでは、フェデレーションに参加して連携する設定を説明していますが、ここでは、所属機関内のみで使用するSPサーバを構築した場合など、特定のIdP・特定のSPの間でのみ連携する設定に変更する方法を説明します。
SP側shibboleth2.xmlとIdP側relying-party.xmlを編集し、
- SPは、DSを経由せず、特定のIdPのみ信頼する
- IdPは、特定のSPのみ信頼する
ように設定します。
...
shibboleth2.xmlの設定
- どのIdPサーバに認証要求を行うか設定し、DSサーバの参照設定を無効にする。
...
relying-party.xmlの設定
SPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってSPメタデータを取得してください。
- 学認申請システム(テストFed)で承認済みのSPを利用する場合、ログインして該当SPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。
- 学認申請システム(テストFed)に参加していない場合でも、申請システムを用いてSPメタデータを取得できます。
○学認申請システムにアクセスして、「新規SP申請」をクリックします
...
○右側の入力に以下の必須情報を入力します。
...
entityID → 指定するSPのentityID。 例: https://idp.example.ac.jp/idp/shibboleth-sp
機関名称 → 入力例: フェデレーション大学 / The University of Federation
証明書 → SPサーバの証明書をファイルで指定するか、もしくは MII… で始まる中身を貼り付けます。
DSからのリターンURL → DSからの戻り先となるURL。例: https://sp.example.ac.jp/Shibboleth.sso/DS
SP名称 → 他のIdP/SPと区別できる名称。
機関情報URL → SP運用機関のウェブサイトURL。
連絡先 → 種別は「技術的問い合せ先(technical)」を選択して連絡先を入力してください。
...
○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」をクリックしてください。当該SPのメタデータが生成されます。
- 取得したSPのメタデータをIdP側に設置します。SPのメタデータファイルを/opt/shibboleth-idp/metadata/に配置し、フェデレーションのメタデータ設定を外します。
...
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
service tomcat6 restart |
※フェデレーションのメタデータの参照設定を行った設定にrelying ※フェデレーションのメタデータの参照設定を行った設定にrelying-party.xmlを戻す場合は、こちらを参照してください。
...