...
学認申請システムから自機関のIdP向けのattribute-filterをダウンロードします。wgetコマンドの引数には https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/申請書ベースID?target=uapprovejp221 を指定します。例として、学認IdP(申請書ベースID:PI0025JP)のattributer-filterをダウンロードするときのコマンドを以下に示します。PI0025JP の部分を置き換えてください。
パネル $ wget https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PI0025JP?target=uapprovejp221ダウンロードしたattribute-filter.xmlを任意のディレクトリに移動します。例として、IdPのconfディレクトリに移動し、ファイル名を attribute-filter-fromoffice.xml に変更しています。
パネル $ sudo mv PI0025JP\?target=uapprovejp /opt/shibboleth-idp/conf/attribute-filter-fromoffice.xml/opt/shibboleth-idp/conf/service.xmlにダウンロードしたattribute-filterを読み込む設定を追加します。configurationResourcePollingFrequency には再読み込みする間隔、 file にはダウンロードしたファイルのパスを指定してください。例として、上でattributer-filterを60分おきに読み込むための設定を以下に示します。パネル ...
<srv:Service id="shibboleth.AttributeFilterEngine" xsi:type="attribute-afp:ShibbolethAttributeFilteringEngine"
configurationResourcePollingFrequency="PT60M">
<srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter.xml" xsi:type="resource:FilesystemResource"/>
<srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter-fromoffice.xml" xsi:type="resource:FilesystemResource"/>
</srv:Service>...Tomcatを再起動して、設定を反映します。
書式設定済み $ sudo service tomcat6 restart
警告 この方法ではattribute-filterダウンロードの部分は自動化されませんので、定期的に手動で実行するなり、後述2.の操作後に実行するなり、cronで実行するなりして、
attribute-filter-fromoffice.xmlを置き換えてください。
...
特定のSPについて特定の属性を送信したくない(例えば任意属性となっているものを利用者への選択肢として表示させない)場合は、以下のような記述を attribute-filter.xml (上記手順で追加したものではなく既存のものです)に追加してください。 (上記手順で追加したファイルではなく既存のもののほうです)に追加してください。
| コード ブロック | ||
|---|---|---|
| ||
<!-- Additional Deny Policy for <SP名> -->
<afp:AttributeFilterPolicy id="DenyPolicyfor<SP名>" xmlns:afp="urn:mace:shibboleth:2.0:afp">
<afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="<SPのentityID>" />
<afp:AttributeRule attributeID="<属性名>">
<afp:DenyValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy> |
...