...
SP側shibboleth2.xmlとIdP側relying-party.xmlを編集し、 以下のように設定します。 xmlを編集し、以下のように設定します。
- SPは、DSを経由せず、特定のIdPのみ信頼する
- IdPは、特定のSPのみ信頼する
...
IdPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってIdPメタデータを取得してください。
- テストフェデレーションに登録済みのIdPを利用する場合、学認申請システム(テストFedテストfed)で承認済みのIdPを利用する場合、ログインして該当IdPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。にログインして該当IdPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。
- 学認申請システムテストフェデレーションに参加していない場合でも、学認申請システム(テストFedテストfed)に参加していない場合でも、申請システムを用いてIdPメタデータを取得できます。を用いてIdPメタデータを取得することが可能です。
○学認申請システム(テストfed)にアクセスして、「新規IdP申請」をクリックします。
○右側の入力に以下の必須情報を入力します。
entityID → 指定するIdPのentityID。 例: https://idp.example.ac.jp/idp/shibboleth
機関名称 → 入力例: フェデレーション大学 / The University of Federation
スコープ → SPがIdPを識別するための情報。 例: nii.ac.jp
証明書 → IdPの証明書をファイルで指定するか、もしくは MII… で始まる中身を貼り付けます。
IdP名称 → 他のIdP/SPと区別できる名称。
機関情報URL → IdP運用機関のウェブサイトURL。
連絡先 → 種別は「技術的問い合せ先(technical)」を選択して連絡先を入力してください。○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」をクリックしてください。当該IdPのメタデータが生成されます。
○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」ボタンをクリックしてください。当該IdPのメタデータが生成されます。
IdPのメタデータを取得したら、それをSP上に配置します。端末上にある場合は、当該ファイルの中身を表示し全てコピーし、SP上でvi等を実行し挿入できる状態にした上で、貼り付けてください。
- 取得したIdPのメタデータをSPの /etc/shibboleth/ に配置します。配置したIdPのメタデータファイルを直接参照し、フェデレーションのメタデータ設定を外します。(もしくは /etc/shibboleth/metadata/)に配置します。配置したIdPのメタデータファイルを参照する設定を追加し、フェデレーションのメタデータ設定を外します。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略)
<!-- Allows overriding of error template information/filenames. You can also add attributes with values that can be plugged into the templates. --> <Errors supportContact="root@localhost" helpLocation="/about.html" styleSheet="/shibboleth-sp/main.css"/>
<!-- Example of remotely supplied batch of signed metadata. --> <!-- コメントアウト <MetadataProvider type="XML" uri="https://ex-ds.ecloud.nii.ac.jp/fed/ex-fed-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/> <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/> </MetadataProvider> コメントアウト -->
<!-- Example of locally maintained metadata. --> <!-- コメントアウト解除 --> <MetadataProvider type="XML" file="メタデータファイル名"/> <!-- コメントアウト解除 -->
(省略)
|
...
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略)
<Sessions lifetime="28800" timeout="3600" relayState="ss:mem"
checkAddress="false" handlerSSL="false" cookieProps="http">
<!--
Configures SSO for a default IdP. To allow for >1 IdP, remove
entityID property and adjust discoveryURL to point to discovery service.
(Set discoveryProtocol to "WAYF" for legacy Shibboleth WAYF support.)
You can also override entityID on /Login query string, or in RequestMap/htaccess.
-->
<SSO <SSO entityID="https://test-idp1.gakunin.nii.ac.jp/idp/shibboleth"
↑IdPを設定(metadataに設定されているentityID)
discoveryProtocol ↑IdPを設定(metadataに設定されているentityID) disiscoveryProtocol="SAMLDS"
discoveryURL="https://ds.example.org/DS/WAYF">
SAML2 SAML1
SAML2 SAML1 </SSO>
(省略)
<!-- Session diagnostic service. -->
<Handler type="Session" Location="/Session" showAttributeValues="false"/>
<!-- JSON feed of discovery information. -->
<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
<!-- JSON feed of discovery information. -->
<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
<SessionInitiator
<!-- コメントアウト <SessionInitiator type="Chaining"
Location="/DS" isDefault=" falsetrue " id="DS">
↑DSの参照設定をtrue → falseに変更
<SessionInitiator <SessionInitiator type="SAML2"
template="bindingTemplate.html"/>
<SessionInitiator <SessionInitiator type="Shib1"/>
<SessionInitiator <SessionInitiator type="SAMLDS"
URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>
</SessionInitiator>
</SessionInitiator>
コメントアウト --> </Sessions>
(省略) |
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
...
SPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってSPメタデータを取得してください。
- テストフェデレーションに登録済みのSPを利用する場合、学認申請システム(テストFedテストfed)で承認済みのSPを利用する場合、ログインして該当SPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。にログインして該当SPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。学認申請システム
- テストフェデレーションに参加していない場合でも、学認申請システム(テストFedテストfed)に参加していない場合でも、申請システムを用いてSPメタデータを取得できます。 を用いてSPメタデータを取得することが可能です。
○学認申請システム(テストfed)にアクセスして、「新規SP申請」をクリックします。
○右側の入力に以下の必須情報を入力します。
entityID → 指定するSPのentityID。 例: https://sp.example.ac.jp/shibboleth-sp
機関名称 → 入力例: フェデレーション大学 / The University of Federation
証明書 → SPの証明書をファイルで指定するか、もしくは MII… で始まる中身を貼り付けます。
DSからのリターンURL → DSからの戻り先となるURL。例: https://sp.example.ac.jp/Shibboleth.sso/DS
SP名称 → 他のIdP/SPと区別できる名称。
機関情報URL → SP運用機関のウェブサイトURL。
連絡先 → 種別は「技術的問い合せ先(technical)」を選択して連絡先を入力してください。○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」をクリックしてください。当該SPのメタデータが生成されます。
○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」ボタンをクリックしてください。当該SPのメタデータが生成されます。
SPのメタデータを取得したら、それをIdP上に配置します。端末上にある場合は、当該ファイルの中身を表示し全てコピーし、IdP上でvi等を実行し挿入できる状態にした上で、貼り付けてください。
- 取得したSPのメタデータをIdPの /opt/shibboleth-idp/metadata/ に配置します。配置したSPのメタデータファイルを直接参照し、フェデレーションのメタデータ設定を外します。 に配置します。配置したSPのメタデータファイルを参照する設定を追加し、フェデレーションのメタデータ設定を外します。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略)
<!-- ========================================== --> <!-- Metadata Configuration --> <!-- ========================================== --> <!-- MetadataProvider the combining other MetadataProviders --> <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:ChainingMetadataProvider">
<!-- Load the IdP's own metadata. This is necessary for artifact support. --> <!-- コメント解除 --> <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProviderFilesystemMetadataProvider"> <metadata:MetadataResource xsi:type="resource:FilesystemResource" file=" metadataFile="/opt/shibboleth-idp/metadata/メタデータファイル名idp-metadata.xml" maxRefreshDelay="P1D" /> </metadata:MetadataProvider> <!-- コメント解除 -->
<!-- Example metadata provider. --> <!-- Reads metadata from a URL and store a backup copy on the file system. --> <!-- Validates the signature of the metadata and filters out all by SP entities in order to save memory --> <!-- To use: fill in 'metadataURL' and 'backingFile' properties on MetadataResource element --> <!-- コメントアウト <metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider" metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml"> <metadata:MetadataFilter xsi:type="metadata:ChainingFilter"> <metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil" maxValidityInterval="P15D" /> <metadata:MetadataFilter xsi:type="metadata:SignatureValidation" trustEngineRef="shibboleth.MetadataTrustEngine" requireSignedMetadata="true" /> <metadata:MetadataFilter xsi:type="metadata:EntityRoleWhiteList"> <metadata:RetainedRole>samlmd:SPSSODescriptor</metadata:RetainedRole> </metadata:MetadataFilter> </metadata:MetadataFilter> </metadata:MetadataProvider> コメントアウト -->
↓以下の2行を追加 <metadata:MetadataProvider id="SP名MD" xsi:type="metadata:FilesystemMetadataProvider" metadataFile="/opt/shibboleth-idp/metadata/メタデータファイル名 " />
</metadata:MetadataProvider>
(省略)
|
...