GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 19

changes.mady.by.user Yoshiaki Kawano

保存しました

次と比較

新しいバージョン 20

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

SP側shibboleth2.xmlとIdP側relying-party.xmlを編集し、  以下のように設定します。 xmlを編集し、以下のように設定します。 

  1. SPは、DSを経由せず、特定のIdPのみ信頼する
  2. IdPは、特定のSPのみ信頼する

...

IdPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってIdPメタデータを取得してください。

  • テストフェデレーションに登録済みのIdPを利用する場合、学認申請システム(テストFedテストfed)で承認済みのIdPを利用する場合、ログインして該当IdPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。にログインして該当IdPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。
  • 学認申請システムテストフェデレーションに参加していない場合でも、学認申請システム(テストFedテストfed)に参加していない場合でも、申請システムを用いてIdPメタデータを取得できます。を用いてIdPメタデータを取得することが可能です。

学認申請システム(テストfed)にアクセスして、「新規IdP申請」をクリックします。

○右側の入力に以下の必須情報を入力します。
        entityID → 指定するIdPのentityID。 例: https://idp.example.ac.jp/idp/shibboleth
        機関名称 → 入力例: フェデレーション大学 / The University of Federation
        スコープ → SPがIdPを識別するための情報。 例: nii.ac.jp
        証明書 → IdPの証明書をファイルで指定するか、もしくは MII… で始まる中身を貼り付けます。
        IdP名称 → 他のIdP/SPと区別できる名称。
        機関情報URL → IdP運用機関のウェブサイトURL。
        連絡先 → 種別は「技術的問い合せ先(technical)」を選択して連絡先を入力してください。○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」をクリックしてください。当該IdPのメタデータが生成されます。

○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」ボタンをクリックしてください。当該IdPのメタデータが生成されます。

IdPのメタデータを取得したら、それをSP上に配置します。端末上にある場合は、当該ファイルの中身を表示し全てコピーし、SP上でvi等を実行し挿入できる状態にした上で、貼り付けてください。

  • 取得したIdPのメタデータをSPの /etc/shibboleth/ に配置します。配置したIdPのメタデータファイルを直接参照し、フェデレーションのメタデータ設定を外します。(もしくは /etc/shibboleth/metadata/)に配置します。配置したIdPのメタデータファイルを参照する設定を追加し、フェデレーションのメタデータ設定を外します。
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

    (省略)

        <!--
        Allows overriding of error template information/filenames. You can
        also add attributes with values that can be plugged into the templates.
        -->
        <Errors supportContact="root@localhost"
            helpLocation="/about.html"
            styleSheet="/shibboleth-sp/main.css"/>

        <!-- Example of remotely supplied batch of signed metadata. -->
        <!-- コメントアウト
        <MetadataProvider type="XML" uri="https://ex-ds.ecloud.nii.ac.jp/fed/ex-fed-metadata.xml"
             backingFilePath="federation-metadata.xml" reloadInterval="7200">
            <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
            <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/>
        </MetadataProvider>
        コメントアウト -->

        <!-- Example of locally maintained metadata. -->
        <!-- コメントアウト解除 -->
        <MetadataProvider type="XML" file="メタデータファイル名"/>
        <!-- コメントアウト解除 -->

    (省略)

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

      (省略)

  

 

   

   <Sessions

lifetime="28800"

timeout="3600"

relayState="ss:mem"
  

 

 

    

 

 

   

 

checkAddress="false"

handlerSSL="false"

cookieProps="http">

  

 

 

 

   

   <!--
  

 

 

 

   

   Configures

SSO

for

a

default

IdP.

To

allow

for

>1

IdP,

remove
  

 

 

 

 

 

   entityID

property

and

adjust

discoveryURL

to

point

to

discovery

service.
  

 

 

 

   

   (Set

discoveryProtocol

to

"WAYF"

for

legacy

Shibboleth

WAYF

support.)
  

 

 

 

 

 

   You

can

also

override

entityID

on

/Login

query

string,

or

in

RequestMap/htaccess.
  

 

 

 

   

   -->

<SSO

            <SSO entityID="https://test-idp1.gakunin.nii.ac.jp/idp/shibboleth"

↑IdPを設定(metadataに設定されているentityID) discoveryProtocol


                           ↑IdPを設定(metadataに設定されているentityID)
                 disiscoveryProtocol="SAMLDS"

discoveryURL="https://ds.example.org/DS/WAYF">

SAML2 SAML1


              SAML2 SAML1
            </SSO>


  

(省略)



 

 

 

 

 

 

<!--

Session

diagnostic

service.

-->
 

 

 

 

 

 

<Handler

type="Session"

Location="/Session"

showAttributeValues="false"/>

 

 

 

 

 

 

<!--

JSON

feed

of

discovery

information.

-->
 

 

 

 

 

 

<Handler

type="DiscoveryFeed"

Location="/DiscoFeed"/>

<!-- JSON feed of discovery information. --> <Handler type="DiscoveryFeed" Location="/DiscoFeed"/> <SessionInitiator


            <!-- コメントアウト
            <SessionInitiator type="Chaining"

Location="/DS"

isDefault="

false

true "

id="DS">

↑DSの参照設定をtrue → falseに変更 <SessionInitiator


                <SessionInitiator type="SAML2"

template="bindingTemplate.html"/>

<SessionInitiator


                <SessionInitiator type="Shib1"/>

<SessionInitiator


                <SessionInitiator type="SAMLDS"

URL="https://test-ds.gakunin.nii.ac.jp/WAYF"/>

</SessionInitiator>


            </SessionInitiator>
            コメントアウト -->
        </Sessions>


  

(省略)

 ※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。 

...

SPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってSPメタデータを取得してください。

  • テストフェデレーションに登録済みのSPを利用する場合、学認申請システム(テストFedテストfed)で承認済みのSPを利用する場合、ログインして該当SPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。にログインして該当SPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。学認申請システム
  • テストフェデレーションに参加していない場合でも、学認申請システム(テストFedテストfed)に参加していない場合でも、申請システムを用いてSPメタデータを取得できます。    を用いてSPメタデータを取得することが可能です。   

学認申請システム(テストfed)にアクセスして、「新規SP申請」をクリックします。

○右側の入力に以下の必須情報を入力します。
        entityID → 指定するSPのentityID。 例: https://sp.example.ac.jp/shibboleth-sp
        機関名称 → 入力例: フェデレーション大学 / The University of Federation
        証明書 → SPの証明書をファイルで指定するか、もしくは MII… で始まる中身を貼り付けます。
        DSからのリターンURL → DSからの戻り先となるURL。例: https://sp.example.ac.jp/Shibboleth.sso/DS
        SP名称 → 他のIdP/SPと区別できる名称。
        機関情報URL → SP運用機関のウェブサイトURL。
        連絡先 → 種別は「技術的問い合せ先(technical)」を選択して連絡先を入力してください。○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」をクリックしてください。当該SPのメタデータが生成されます。

○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」ボタンをクリックしてください。当該SPのメタデータが生成されます。

SPのメタデータを取得したら、それをIdP上に配置します。端末上にある場合は、当該ファイルの中身を表示し全てコピーし、IdP上でvi等を実行し挿入できる状態にした上で、貼り付けてください。

  • 取得したSPのメタデータをIdPの /opt/shibboleth-idp/metadata/ に配置します。配置したSPのメタデータファイルを直接参照し、フェデレーションのメタデータ設定を外します。 に配置します。配置したSPのメタデータファイルを参照する設定を追加し、フェデレーションのメタデータ設定を外します。
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

    (省略)

    <!-- ========================================== -->
    <!--      Metadata Configuration                -->
    <!-- ========================================== -->
    <!-- MetadataProvider the combining other MetadataProviders -->
    <metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:ChainingMetadataProvider">

        <!-- Load the IdP's own metadata.  This is necessary for artifact support. -->
        <!-- コメント解除 -->  
        <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProviderFilesystemMetadataProvider">
            <metadata:MetadataResource xsi:type="resource:FilesystemResource" file="                         metadataFile="/opt/shibboleth-idp/metadata/メタデータファイル名idp-metadata.xml"
                                   maxRefreshDelay="P1D" />
        </metadata:MetadataProvider>
       <!-- コメント解除 -->

        <!-- Example metadata provider. -->
        <!-- Reads metadata from a URL and store a backup copy on the file system. -->
        <!-- Validates the signature of the metadata and filters out all by SP entities in order to save memory -->
        <!-- To use: fill in 'metadataURL' and 'backingFile' properties on MetadataResource element -->
        <!-- コメントアウト
        <metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
                          metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
                          backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml">
            <metadata:MetadataFilter xsi:type="metadata:ChainingFilter">
                <metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil"
                                maxValidityInterval="P15D" />
                <metadata:MetadataFilter xsi:type="metadata:SignatureValidation"
                                trustEngineRef="shibboleth.MetadataTrustEngine"
                                requireSignedMetadata="true" />
                    <metadata:MetadataFilter xsi:type="metadata:EntityRoleWhiteList">
                    <metadata:RetainedRole>samlmd:SPSSODescriptor</metadata:RetainedRole>
                </metadata:MetadataFilter>
            </metadata:MetadataFilter>
        </metadata:MetadataProvider>
        コメントアウト -->

        ↓以下の2行を追加
        <metadata:MetadataProvider id="SP名MD" xsi:type="metadata:FilesystemMetadataProvider"
                                   metadataFile="/opt/shibboleth-idp/metadata/メタデータファイル名" />

    </metadata:MetadataProvider>

    (省略)

...