学内システムとして構築する場合の設定
本技術ガイドでは、フェデレーションに参加して連携する設定を説明していますが、ここでは、所属機関内のみで使用するSPサーバを構築した場合など、特定のIdP・特定のSPの間でのみ連携する設定に変更する方法を説明します。本技術ガイドでは、フェデレーションに参加して連携する設定を説明していますが、ここでは、所属機関内のみで使用するSPサーバを構築した場合など、特定のIdP・特定のSPの間でのみ連携する設定に変更する方法を説明します。
SP側shibboleth2.xmlとIdP側relying-party.xmlを編集し、
- SPは、DSを経由せず、特定のIdPのみ信頼する
- IdPは、特定のSPのみ信頼する
ように設定します。
...
shibboleth2.xmlの設定
- どのIdPサーバに認証要求を行うか設定し、DSサーバの参照設定を無効にする。
...
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
フェデレーションのメタデータの設定をコメントアウトします。 <!-- コメントアウト <MetadataProvider type="XML" uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/> <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/> </MetadataProvider> --> コメントアウト 設定したIdPサーバのメタデータの場所を指定します。 <!-- Example of locally maintained metadata. --> <!-- --> コメントアウトを解除 <MetadataProvider type="XML" file="partner-metadata.xml"/> <!-- --> コメントアウトを解除 (省略) |
...
メタデータ /var/cache/shibboleth/federation-metadata.xmlをxml を /etc/shibboleth/partner-metadata.xmlにコピーします。xml にコピーします。
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
cp /var/cache/shibboleth/federation-metadata.xml /etc/shibboleth/partner-metadata.xml |
...
relying-party.xmlの設定
SPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってSPメタデータを取得してください。
...
- 学認申請システム(テストFed)で承認済みのSPを利用する場合、ログインして該当SPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。
...
※フェデレーションのメタデータの参照設定を行った設定にrelying-party.xmlを戻す場合は、こちらを参照してください。
利用するSPにアクセスし、DSを経由せず、設定したIdPに直接アクセスすること、およびIdPで認証してSPに接続できることを確認してください。