学内システムとして構築する場合の設定
本技術ガイドでは、フェデレーションに参加して連携する設定を説明していますが、ここでは、所属機関内のみで使用するSPサーバを構築した場合など、特定のIdP・特定のSPの間でのみ連携する設定に変更する方法を説明します。本技術ガイドでは、フェデレーションに参加して連携する設定を説明していますが、ここでは、所属機関内のみで使用するSPを構築した場合など、特定のIdP・特定のSPの間でのみ連携する設定に変更する方法を説明します。
SP側shibboleth2.xmlとIdP側relying-party.xmlを編集し、
...
ように設定します。
...
shibboleth2.xmlの設定
- どのIdPサーバに認証要求を行うか設定し、DSサーバの参照設定を無効にする。どのIdPに認証要求を行うか設定し、DSの参照設定を無効にする。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
「SSO entityID」を検索し、場所を特定してください。 <SSO entityID="https://test-idp1.gakunin.nii.ac.jp/idp/shibboleth" ↑IdPサーバを設定(metadataに設定されているentityID)↑IdPを設定(metadataに設定されているentityID) discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF"> SAML2 SAML1 </SSO> (省略) 「</Sessions>」の直前に挿入した、DSサーバの参照設定を変更します。Sessions>」の直前に挿入した、DSの参照設定を変更します。 <!-- JSON feed of discovery information. --> <Handler type="DiscoveryFeed" Location="/DiscoFeed"/> <SessionInitiator type="Chaining" Location="/DS" isDefault="false" id="DS"> ↑DSサーバの参照設定をtrue → falseに変更↑DSの参照設定をtrue → falseに変更 <SessionInitiator type="SAML2" template="bindingTemplate.html"/> <SessionInitiator type="Shib1"/> <SessionInitiator type="SAMLDS" URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/> </SessionInitiator> </Sessions> (省略) |
...
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
フェデレーションのメタデータの設定をコメントアウトします。 <!-- コメントアウト <MetadataProvider type="XML" uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/> <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/> </MetadataProvider> --> コメントアウト 設定したIdPサーバのメタデータの場所を指定します。設定したIdPのメタデータの場所を指定します。 <!-- Example of locally maintained metadata. --> <!-- --> コメントアウトを解除 <MetadataProvider type="XML" file="partner-metadata.xml"/> <!-- --> コメントアウトを解除 (省略) |
...
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
cp /var/cache/shibboleth/federation-metadata.xml /etc/shibboleth/partner-metadata.xml |
partner-metadata.xml中の指定したIdPサーバの記述以外のサーバ内容を全て削除します。xml中の指定したIdPの記述以外のサーバ内容を全て削除します。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
<?xml version="1.0" encoding="UTF-8" standalone="no" ?> <EntitiesDescriptor ... (省略) <!-- IdP: Your Organization Name, Your IdP Site URL, Date --> ↑最初のこの記述から指定したIdPサーバで検索し、場所を特定します (省略) <EntityDescriptor entityID="https://test-idp1.gakunin.nii.ac.jp/idp/shibboleth"> <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0 urn:oasis:names:tc:SAML:2.0:protocol"> <Extensions> <shibmd:Scope xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" regexp="false">.nii.ac.jp</shibmd:Scope> <mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"> <mdui:Keywords xml:lang="en">category:location:seito</mdui:Keywords> </mdui:UIInfo> </Extensions> <KeyDescriptor> <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate> MIIE5zCCA8+gAwIBAgIISYxA1Yv0Z2IwDQYJKoZIhvcNAQEFBQAwfTELMAkGA1UE BhMCSlAxETAPBgNVBAcTCEFjYWRlbWUyMSowKAYDVQQKEyFOYXRpb25hbCBJbnN0 aXR1dGUgb2YgSW5mb3JtYXRpY3MxDTALBgNVBAsTBFVQS0kxIDAeBgNVBAsTF05J SSBPcGVuIERvbWFpbiBDQSAtIEcyMB4XDTEyMDMyNjAyMDIxNVoXDTE0MDQyNTAy (省略) <KeyDescriptor < <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#" > <ds:X509Data > <ds:X509Certificate > MIIE5zCCA8+gAwIBAgIISYxA1Yv0Z2IwDQYJKoZIhvcNAQEFBQAwfTELMAkGA1UE BhMCSlAxETAPBgNVBAcTCEFjYWRlbWUyMSowKAYDVQQKEyFOYXRpb25hbCBJbnN0 aXR1dGUgb2YgSW5mb3JtYXRpY3MxDTALBgNVBAsTBFVQS0kxIDAeBgNVBAsTF05J SSBPcGVuIERvbWFpbiBDQSAtIEcyMB4XDTEyMDMyNjAyMDIxNVoXDTE0MDQyNTAy (省略) <ContactPerson contactType="technical"> <GivenName>Your GivenName</GivenName> <SurName>Your SurName</SurName> <EmailAddress>admin@example.org</EmailAddress> </ContactPerson> </EntityDescriptor> <!-- IdP: Your Organization Name, Your IdP Site URL, Date --> </EntitiesDescriptor> <--消さないように注意 |
...