...
属性送信対象SPの追加・削除のみが操作可能で、個々の属性を送信するか否かをIdP管理者が操作することはできません。SPが学認に申請した通りに属性を送ります。
各SPが要求する属性はこちら⇒SP接続情報
| 情報 |
|---|
任意属性についてはuApprove任意属性については uApprove.jpの機能により利用者が送信するかどうかを選択できます。jp の機能により利用者が送信するかどうかを選択できます。 |
- uApprove.jpがインストールされていることが必須です。(インストールされていない場合はuApprove.jpのスキーマを読み込む処理でエラーとなります)
学認申請システムが生成したattribute-filterのattributeIDに記載されている値と、IdPの /opt/shibboleth-idp/conf/attribute-resolver.xml に記載されているidの値が一致していること
最新のattribute-resolver.xmlテンプレートの利用を推奨します。⇒テンプレート注意 attribute-resolver.xmlテンプレートを更新する際には、idの変更を含む場合がありますのであわせてattribute-filter.xmlの確認および修正も行ってください。
また、uApprove.jpの設定ファイル attribute-list にも影響を受ける箇所がありますので適宜修正してください。(確認されているのはemail→mailのみです。また、attribute-list が未修正でも機能に問題はありません。)
- 学認申請システムが提供するattribute-filterの提供元を指定するために、IdPの申請書ベースIDが必要です。申請書ベースIDは、学認申請システムの承認済みIdPの詳細画面から確認することができます。
- 例として示す設定ファイルの書き方は既存のattribute-filter.xmlと、学認申請システムが提供するattribute-filterの両方を読むことを想定した内容となっています。
...
service.xml に学認申請システムからattribute-filter.xmlをダウンロードするための設定を追加します。 configurationResourcePollingFrequency には再読み込みする間隔、 url には https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/申請書ベースID 、 file にはダウンロードしたファイルを保存するためのパスを指定してください。例として、学認IdP(申請書ベースID:PI0025JP)のattributer-filterをIdPのconfディレクトリ配下に60分おきにダウンロードするための設定を以下に 示します。PI0025JP の部分を置き換えてください。
パネル ...
<srv:Service id="shibboleth.AttributeFilterEngine" xsi:type="attribute-afp:ShibbolethAttributeFilteringEngine"
configurationResourcePollingFrequency="PT60M">
<srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter.xml" xsi:type="resource:FilesystemResource"/>
<srv:ConfigurationResource xsi:type="resource:FileBackedHttpResource"
url="https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PI0025JP?target=uapprovejp"
file="/opt/shibboleth-idp/conf/attribute-filter-fromoffice-backing.xml" />
</srv:Service>...Tomcatを再起動して、設定を反映します。
書式設定済み $ sudo service tomcat6 restart
b) 学認申請システムが生成したattribute-filterをローカルにダウンロードした上で読み込む方法
- 学認申請システムから自身のIdP向けのattribute
学認申請システムから自機関のIdP向けのattribute-
filter.xmlをダウンロードします。wgetコマンドの引数にはfilterをダウンロードします。wgetコマンドの引数には https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/
申請ベースID申請書ベースID を指定します。例として、学認IdP(申請書ベースID:PI0025JP)のattributer-filterをダウンロードするときのコマンドを以下に示します。PI0025JP の部分を置き換えてください。
を指定します。例として、学認IdP(申請ベースID PI0025JP)のattributer-filter.xmlをダウンロードするときのコマンドを以下に示します。$ wgetパネル $ wgethttps://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PI0025JP?target=uapprovejp ダウンロードしたattribute-filter.xmlを任意のディレクトリに移動します。例として、IdPのconfディレクトリに移動し、ファイル名を attribute-filter-
PI0025JPfromoffice.xml に変更しています。
パネル $sudomvPI0025JP
PI0025JP\?target=uapprovejp /opt/shibboleth-idp/conf/attribute-filter-fromoffice.xmlservice.xml にダウンロードしたattribute-filterを読み込む設定を追加します。configurationResourcePollingFrequency には再読み込みする間隔、 file にはダウンロードしたファイルのパスを指定してください。例として、上でattributer-filterを60分おきに読み込むための設定を以下に示します。
filter.xmlを読み込む設定を追加します。configurationResourcePollingFrequency には再読み込みする間隔、 file にはダウンロードしたファイルのパスを指定してください。例として、学認IdP(申請ベースID PI0025JP)のattributer-filter.xmlを60分おきに読み込むための設定を以下に示します。パネル ...
<srv:Service id="shibboleth.AttributeFilterEngine" xsi:type="attribute-パネル afp:ShibbolethAttributeFilteringEngine"
configurationResourcePollingFrequency="PT60M">
<srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter.xml" xsi:type="resource:FilesystemResource"/>
<srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter-fromoffice.xml" xsi:type="resource:FilesystemResource"/>
</srv:Service>...Tomcatを再起動して、設定を反映します。
書式設定済み $ sudo service tomcat6 restart
...
警告 この方法ではattribute-filterダウンロードの部分は自動化されませんので、定期的に手動で実行するなり、後述2.の操作後に実行するなり、cronで実行するなりして、
attribute-filter-fromoffice.xmlを置き換えてください。
| 注意 | ||
|---|---|---|
いずれの場合も、Tomcatを非root権限で動かしている場合は、confディレクトリに新規ファイルを書き込めない可能性があります。その場合は file に指定するファイルをあらかじめ作成し、ownerを変更するなどの事前準備が必要となります。
|
...