...
- uApprove.jpがインストールされていることが必須です。(インストールされていない場合はuApprove.jpのスキーマを読み込む処理でエラーとなります)
学認申請システムが生成したattribute-filterのattributeIDに記載されている値と、IdPの /opt/shibboleth-idp/conf/attribute-resolver.xml に記載されているidの値が一致していること
最新のattribute-resolver.xmlテンプレートの利用を推奨します。⇒テンプレート
学認申請システムが生成したattribute-filter.xmlをダウンロードするためにはIdPの申請書ベースIDが必要です。申請書ベースIDは、学認申請システムの承認済みIdPの詳細画面から確認することができます。注意 attribute-resolver.xmlテンプレートを更新する際には、idの変更を含む場合がありますのであわせてattribute-filter.xmlの確認および修正も行ってください。
また、uApprove.jpの設定ファイル attribute-list にも影響を受ける箇所がありますので適宜修正してください。(確認されているのはemail→mailのみです。また、attribute-list が未修正でも機能に問題はありません。)
- 学認申請システムが提供するattribute-filterの提供元を指定するために、IdPの申請書ベースIDが必要です。申請書ベースIDは、学認申請システムの承認済みIdPの詳細画面から確認することができます。
- 例として示す設定ファイルの書き方は既存のattribute-filter.xmlと、学認申請システムが生成したattributexmlと、学認申請システムが提供するattribute-filter.xmlの両方を読むことを想定した内容となっています。filterの両方を読むことを想定した内容となっています。
1. IdPにattribute-filterの自動読み込み設定を行う
IdPに対して以下のどちらかの手順を行ってください。IdPに対して以下のどちらかの手順を行ってください。全てが自動化されることに不安がある場合は、後者の方法を選択して間に検証手順を挟んでください。
a) 学認申請システムが生成したattribute-filterを直接読み込む方法
service.xml に学認申請システムからattribute-filter.xmlをダウンロードするための設定を追加します。 configurationResourcePollingFrequency には再読み込みする間隔、 url には https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/申請書ベースID 、 file にはダウンロードしたファイルを保存するためのパスを指定してください。例として、学認IdP(申請書ベースID:PI0025JP)のattributer-filterをIdPのconfディレクトリ配下に60分おきにダウンロードするための設定を以下に 示します。
パネル ...
<srv:Service id="shibboleth.AttributeFilterEngine" xsi:type="attribute-afp:ShibbolethAttributeFilteringEngine" configurationResourcePollingFrequency="PT60M">
<srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter.xml" xsi:type="resource:FilesystemResource"/>
<srv:ConfigurationResource xsi:type="resource:FileBackedHttpResource"
url="https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PI0025JP?target=uapprovejp"
file="/opt/shibboleth-idp/conf/attribute-filter-fromoffice-backing.xml" />
</srv:Service>...
Tomcatを再起動して、設定を反映します。
書式設定済み $ sudo service tomcat6 restart
b) 学認申請システムが生成したattribute-filterをローカルにダウンロードした上で読み込む方法
- 学認申請システムから自身のIdP向けのattribute-filter.xmlをダウンロードします。wgetコマンドの引数には https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/申請ベースID を指定します。例として、学認IdP(申請ベースID PI0025JP)のattributer-filter.xmlをダウンロードするときのコマンドを以下に示します。
$ wget https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PI0025JP
- ダウンロードしたattribute-filter.xmlを任意のディレクトリに移動します。例として、IdPのconfディレクトリに移動し、ファイル名を attribute-filter-PI0025JP.xml に変更しています。
$ sudo mv PI0025JP /opt/shibboleth-idp/conf/attribute-filter-PI0025JP.xml
service.xml にダウンロードしたattribute-filter.xmlを読み込む設定を追加します。configurationResourcePollingFrequency には再読み込みする間隔、 file にはダウンロードしたファイルのパスを指定してください。例として、学認IdP(申請ベースID PI0025JP)のattributer-filter.xmlを60分おきに読み込むための設定を以下に示します。
パネル Tomcatを再起動して、設定を反映します。
書式設定済み $ sudo service tomcat6 restart
注意 | ||
---|---|---|
いずれの場合も、Tomcatを非root権限で動かしている場合は、confディレクトリに新規ファイルを書き込めない可能性があります。その場合は file に指定するファイルをあらかじめ作成し、ownerを変更するなどの事前準備が必要となります。
|
また、いずれの場合も、以下の手順により動作確認が完了したら、既存の attribute-filter.xml に設定されている重複した学認参加SPに対するフィルタ設定を削除しておくほうが混乱がないでしょう。いずれの場合も、以下の手順により動作確認が完了したら、残りの学認参加SPに対するフィルタ設定もattribute-filter.xmlから削除しておくほうが混乱がないでしょう。
2. 属性送信するSPを追加・変更する
- IdP運用担当者の方が学認申請システムにログインし、承認済みIdPの詳細画面を表示してください。
ページ最下部に「利用可能なSPを選択する」リンクがありますのでクリックしてください。
. SP選択画面が表示されます。
まず、「特に指定しない(全てのSPで表示されます)」にチェックが入っていないことを確認してください。注意 ページ先頭にある説明書きと注意書きは、別の機能についてのものですので、無視してください。
まず、「特に指定しない(全てのSPで表示されます)」にチェックが入っていないことを確認してください。
注意 このページでチェックを入れたSPに属性が送信されるようになりますので、慎重に行ってください。 .
- 最後にページ最下部の「登録」ボタンをクリックしてください。
. - 上述の直接読み込むIdP設定の通りに行っていれば、最大でも1時間後には選択したSPに属性を送信するようになります。
...