Shibboleth IdP 3に関する情報をまとめているページです。

動作確認環境

設定

学認メタデータの読み込み

学認メタデータの読み込みはconf/metadata-providers.xmlで設定します。

設定

メタデータ

認証

属性・NameID

画面のカスタマイズ

組み込みのユーザ同意機能について

Shibboleth IdP 3には、uApprove相当のユーザ同意機能が組み込まれています。uApproveJPとの違いはShibboleth IdP 3のユーザ同意機能とuApproveJPとの相違点を参照してください。

ユーザ同意の情報をMySQLに保存する設定

• StorageRecordsテーブルの作成
  StorageRecordsテーブルを作成します。

  展開
  コード ブロック language sql title MySQL CREATE TABLE `StorageRecords` ( `context` varchar(255) NOT NULL, `id` varchar(255) NOT NULL, `expires` bigint(20) DEFAULT NULL, `value` longtext NOT NULL, `version` bigint(20) NOT NULL, PRIMARY KEY (`context`,`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

• conf/global.xml
  shibboleth.JPAStorageServiceを定義します。persistent-idの設定(storedId)が設定済みの場合、最後のMyDataSourceの定義は重複となるため不要です。

  展開
  コード ブロック language xml title conf/global.xml <!-- Use this file to define any custom beans needed globally. --> <bean id="shibboleth.JPAStorageService" class="org.opensaml.storage.impl.JPAStorageService" p:cleanupInterval="%{idp.storage.cleanupInterval:PT10M}" c:factory-ref="shibboleth.JPAStorageService.entityManagerFactory" /> <bean id="shibboleth.JPAStorageService.entityManagerFactory

  conf/metadata-providers.xml

  展開

  コード ブロック language xml title conf/metadata-providers.xml <!-- --> <MetadataProvider id="HTTPMetadata" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/gakunin-metadata-backing.xml" metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean"> <property name="packagesToScan" value="org.opensaml.storage.impl" /> <property certificateFile="/opt/shibboleth-idp-common/credentials/gakunin-signer-2010.cer"name="dataSource" ref="MyDataSource" /> <MetadataFilter xsi:type<property name="RequiredValidUntiljpaVendorAdapter" maxValidityIntervalref="P15Dshibboleth.JPAStorageService.JPAVendorAdapter" /> <MetadataFilter xsi:type<property name="EntityRoleWhiteListjpaDialect"> <RetainedRole>md:SPSSODescriptor</RetainedRole> <bean class="org.springframework.orm.jpa.vendor.HibernateJpaDialect" /> </MetadataFilter>property> </MetadataProvider>bean> <bean id="shibboleth.JPAStorageService.JPAVendorAdapter" <!-- --> コード ブロック language diff title デフォルトからの差分 - <!-- + <!-- --> <MetadataProvider id="HTTPMetadata class="org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter" p:database="MYSQL" /> <!-- A DataSource bean suitable for use in the idp.persistentId.dataSource property. --> <bean id="MyDataSource" class="org.apache.commons.dbcp2.BasicDataSource" xsi:type="FileBackedHTTPMetadataProvider" -p:driverClassName="com.mysql.jdbc.Driver" p:url="jdbc:mysql://localhost:3306/shibboleth" p:username="username" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml" -p:password="password" p:maxTotal="10" p:maxIdle="5" metadataURLp:maxWaitMillis="http://WHATEVER15000"> + backingFile="%{idp.home}/metadata/gakunin-metadata-backing.xml" +p:testOnBorrow="true" p:validationQuery="select 1" metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"> - <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"> - <PublicKey> - MIIBI..... - </PublicKey> - </MetadataFilter> - <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P30D"/> + <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" + certificateFile="/opt/shibboleth-idp-common/credentials/gakunin-signer-2010.cer"/> + <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider> - --> + <!-- --> 注意 Shibboleth IdP 3.2からSignatureValidationFilterのrequireSignedMetadataがrequireSignedRootに変更となりました。requireSignedMetadataの場合、下記のwarningメッセージが表示されます。 書式設定済み 2015-12-18 18:33:35,232 - WARN [net.shibboleth.idp.profile.spring.relyingparty.metadata.filter.impl.SignatureValidationParser:128] - file [/opt/shibboleth-idp/conf/metadata-providers.xml] Use of the attribute 'requireSignedMetadata' is deprecated, use 'requireSignedRoot' instead

Shibboleth IdP 3.1以前の情報

認証

LDAPを用いたパスワード認証

Shibboleth IdP 3からは、LDAPモジュールを用いたJAASによるパスワード認証に加えて、直接LDAPを参照するパスワード認証が追加されました。

デフォルトは直接LDAPを参照するパスワード認証です。

直接LDAPを参照するパスワード認証

• conf/ldap.properties
  参照するLDAPにあわせて、Connection properties, SSL configuration, Search DN resolutionのプロパティを設定します。

  展開

  コード ブロック language java title conf/ldap.properties ## Connection properties ## idp.authn.LDAP.ldapURL = ldap://localhost:389 idp.authn.LDAP.useStartTLS = false #idp.authn.LDAP.useSSL = false #idp.authn.LDAP.connectTimeout = 3000   # Search DN resolution, used by anonSearchAuthenticator, bindSearchAuthenticator # for AD: CN=Users,DC=example,DC=org idp.authn.LDAP.baseDN = ou=people,dc=example,dc=ac,dc=jp idp.authn.LDAP.subtreeSearch = true idp.authn.LDAP.userFilter = (uid={user}) # bind search configuration # for AD: idp.authn.LDAP.bindDN=adminuser@domain.com idp.authn.LDAP.bindDN = idp.authn.LDAP.bindDNCredential = コード ブロック language diff title デフォルトからの差分 ## Connection properties ## -idp.authn.LDAP.ldapURL = ldap://localhost:10389 -#idp.authn.LDAP.useStartTLS = true +idp.authn.LDAP.ldapURL = ldap://localhost:389 +idp.authn.LDAP.useStartTLS = false #idp.authn.LDAP.useSSL = false #idp.authn.LDAP.connectTimeout = 3000   # Search DN resolution, used by anonSearchAuthenticator, bindSearchAuthenticator # for AD: CN=Users,DC=example,DC=org -idp.authn.LDAP.baseDN = ou=people,dc=example,dc=org -#idp.authn.LDAP.subtreeSearch = false +idp.authn.LDAP.baseDN = ou=people,dc=example,dc=ac,dc=jp +idp.authn.LDAP.subtreeSearch = true idp.authn.LDAP.userFilter = (uid={user}) # bind search configuration # for AD: idp.authn.LDAP.bindDN=adminuser@domain.com -idp.authn.LDAP.bindDN = uid=myservice,ou=system -idp.authn.LDAP.bindDNCredential = myServicePassword +idp.authn.LDAP.bindDN = +idp.authn.LDAP.bindDNCredential =

JAASによるパスワード認証^{3.1時点の情報}

• conf/authn/password-authn-config.xml

  <import resource="jaas-authn-config.xml" />の行をアンコメントとして、<import resource="ldap-authn-config.xml" />の行をコメントアウトします。

  コード ブロック
  language xml title conf/authn/password-authn-config.xml collapse true
  <!-- Choose an import based on the back-end you want to use. --> <import resource="jaas-authn-config.xml" /> <!-- <import resource="krb5-authn-config.xml" /> --> <!-- <import resource="ldap-authn-config.xml" /> -->

• conf/authn/jaas.config

  参照するLDAPにあわせて、org.ldaptive.jaas.LdapLoginModule required以降の行を設定します。

  コード ブロック
  language xml title conf/authn/jaas.config collapse true
  ShibUserPassAuth { /* com.sun.security.auth.module.Krb5LoginModule required; */ org.ldaptive.jaas.LdapLoginModule required ldapUrl="ldap://localhost" baseDn="ou=people,dc=example,dc=ac,dc=jp" ssl="false" userFilter="uid={user}" subtreeSearch="true" ; };

//saml2:Subject/saml2:NameID^{3.1時点の情報}

//saml2:Subject/saml2:NameIDはconf/attribute-filter.xmlに記述しなくてもconf/saml-nameid.propertiesとconf/saml-nameid.xmlの設定により、SPメタデータの<NameIDFormat>に従って下記の通り送信します。

SPメタデータに複数の<NameIDFormat>がある場合は、SPメタデータの並び順で送信可能な属性を送信します。persistent-idの設定を行っていないなど送信可能な属性がない場合は、//saml2:Subject/saml2:NameID自体が送信されません。

<NameIDFormat>がないSPの場合と<NameIDFormat>がurn:oasis:names:tc:SAML:2.0:nameid-format:persistentの場合の//saml2:Subject/saml2:NameIDの例を下記に示す。

• <NameIDFormat>がないSPの場合

  コード ブロック
  language xml
  <saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" NameQualifier="https://idp.example.ac.jp/idp/shibboleth" SPNameQualifier="https://sp1.example.jp/shibboleth-sp">AAdzZWNyZXQxgUnobM3/AN3fn8DfZPDqBp/GnKNxc5JR4nxXAxDAXZZSg0AZSrDh1Sip1fl9JGYrm2NWjl8zHKxHmbsgS/mFZ1ZlSYQ2U/Kz7tCQ+SDswixwLRcGg3tDvVSAY8imKSrElGWSm5gMM45D4rkeQONJYr7gQZ13</saml2:NameID>

• <NameIDFormat>がurn:oasis:names:tc:SAML:2.0:nameid-format:persistentの場合

  コード ブロック
  language xml
  <saml2:Subject> <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="https://idp.example.ac.jp/idp/shibboleth" SPNameQualifier="https://sp2.example.jp/shibboleth-sp">oiUiApwGnBP8pS3HZJ02ZW/aOTI=</saml2:NameID>

transient-idの設定

transient-idのデフォルトはCryptoTransientに変更になりました。CryptoTransientの使用例を下記に示します。

IdP 2系と同じ短いTransientを使いたい場合は下記の変更を行います。

• conf/saml-nameid.properties
  

  idp.transientId.generatorをアンコメントして、値をshibboleth.StoredTransientIdGeneratorに変更します。

  コード ブロック
  language xml title conf/saml-nameid.properties collapse true
  # Set to shibboleth.StoredTransientIdGenerator for server-side storage idp.transientId.generator = shibboleth.StoredTransientIdGenerator

Transientの使用例を下記に示します。

<saml2:Subject>
    <saml2:NameID
        Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"
        NameQualifier="https://idp.example.ac.jp/idp/shibboleth"
        SPNameQualifier="https://sp1.example.jp/shibboleth-sp">_f358fb015b9b45c7d18a4a2647e79c33</saml2:NameID>

persistent-idの設定

computedId

computedIdでの設定を下記に示します。

• conf/saml-nameid.xml
<ref bean="shibboleth.SAML2PersistentGenerator" /> をアンコメントして有効にします。

  コード ブロック
  language xml title conf/saml-nameid.xml collapse true
  <!-- Uncommenting this bean requires configuration in saml-nameid.properties. --> <!-- --> <ref bean="shibboleth.SAML2PersistentGenerator" /> <!-- -->

• conf/saml-nameid.properties
  idp.persistentId.generatorのデフォルトはComputedIdの設定のため、idp.persistentId.sourceAttributeとidp.persistentId.saltのみを設定します。

  コード ブロック
  language sass title conf/saml-nameid.properties collapse true
  # Set to shibboleth.StoredPersistentIdGenerator for db-backed storage # and uncomment/name the PersistentIdStore bean to use #idp.persistentId.generator = shibboleth.ComputedPersistentIdGenerator # Otherwise for computed PersistentIDs set the source attribute and salt. idp.persistentId.sourceAttribute = uid4persistentId idp.persistentId.salt = changethistosomethingrandom

• conf/attribute-resolver.xmlとconf/attribute-filter.xml
idp.persistentId.sourceAttributeの値をconf/attribute-resolver.xmlの//resolver:AttributeDefinitionで定義して、conf/attribute-filter.xmlで送信設定を行います。

  コード ブロック
  language xml title conf/attribute-resolver.xml collapse true
  <!-- ========================================== --> <!-- PersistentId Definition --> <!-- ========================================== --> <!-- Attribute Definition for %{idp.persistentId.sourceAttribute} --> <resolver:AttributeDefinition id="%{idp.persistentId.sourceAttribute}" xsi:type="ad:Simple" sourceAttributeID="uid"> <resolver:Dependency ref="myLDAP" /> </resolver:AttributeDefinition>

  コード ブロック
  language xml title conf/attribute-filter.xml collapse true
  <!-- Release to anyone --> <afp:AttributeFilterPolicy id="PolicyforAnyone"> <afp:PolicyRequirementRule xsi:type="basic:ANY" /> <afp:AttributeRule attributeID="%{idp.persistentId.sourceAttribute}"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

• conf/intercept/consent-intercept-config.xml
  ユーザ同意画面にて%{idp.persistentId.sourceAttribute}を表示しないように、//util:list[@id="shibboleth.consent.attribute-release.BlacklistedAttributeIDs"]に%{idp.persistentId.sourceAttribute}を追加します。

  コード ブロック
  language xml title conf/intercept/consent-intercept-config.xml collapse true
  <util:list id="shibboleth.consent.attribute-release.BlacklistedAttributeIDs"> <value>transientId</value> <value>persistentId</value> <value>eduPersonTargetedID</value> <value>%{idp.persistentId.sourceAttribute}</value> </util:list>

storedId

storedIdでの設定を下記に示します。

...

conf/saml-nameid.xml
<ref bean="shibboleth.SAML2PersistentGenerator" /> をアンコメントして有効にします。

<!-- Uncommenting this bean requires configuration in saml-nameid.properties. -->
<!-- -->
<ref bean="shibboleth.SAML2PersistentGenerator" />
<!-- -->

...

conf/saml-nameid.properties
idp.persistentId.generator, idp.persistentId.store, idp.persistentId.sourceAttributeとidp.persistentId.saltを設定します。

# Set to shibboleth.StoredPersistentIdGenerator for db-backed storage
# and uncomment/name the PersistentIdStore bean to use
idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator
idp.persistentId.store = PersistentIdStore
# Set this to null to skip hash-based generation of first stored ID
#idp.persistentId.computed = shibboleth.ComputedPersistentIdGenerator

# Otherwise for computed PersistentIDs set the source attribute and salt.
idp.persistentId.sourceAttribute = uid4ppersistentId
idp.persistentId.salt = changethistosomethingrandom

...

conf/global.xml
idp.persistentId.storeの値をconf/global.xmlで定義します。

<!-- Use this file to define any custom beans needed globally. -->
<bean id="shibboleth.MySQLDataSource"
      class="org.apache.tomcat.dbcp.dbcp.BasicDataSource"
      p:driverClassName="com.mysql.jdbc.Driver"
      p:url="jdbc:mysql://localhost:3306/shibboleth"
      p:username="username"
      p:password="password"
      p:maxActive="10"
      p:maxIdle="5"
      p:maxWait="15000"
      p:testOnBorrow="true"
      p:validationQuery="select 1"
      p:validationQueryTimeout="5" />
<bean id="PersistentIdStore"
      class="net.shibboleth.idp.saml.nameid.impl.JDBCPersistentIdStore"
      p:dataSource-ref="shibboleth.MySQLDataSource" />

<!-- Use this file to define any custom beans needed globally. -->
<bean id="shibboleth.MySQLDataSource"
      class="org.apache.tomcat.dbcp.dbcp2.BasicDataSource"
      p:driverClassName="com.mysql.jdbc.Driver"
      p:url="jdbc:mysql://localhost:3306/shibboleth"
      p:username="username"
      p:password="password"
      p:maxIdle="5"
      p:testOnBorrow="true"
      p:validationQuery="select 1"
      p:validationQueryTimeout="5" />

<bean id="PersistentIdStore"
      class="net.shibboleth.idp.saml.nameid.impl.JDBCPersistentIdStore"
      p:dataSource-ref="shibboleth.MySQLDataSource" />

...

conf/attribute-resolver.xmlとconf/attribute-filter.xml
idp.persistentId.sourceAttributeの値をconf/attribute-resolver.xmlの//resolver:AttributeDefinitionで定義して、conf/attribute-filter.xmlで送信設定を行います。

<!-- ========================================== -->
<!--      PersistentId Definition               -->
<!-- ========================================== -->

<!-- Attribute Definition for %{idp.persistentId.sourceAttribute} -->
<resolver:AttributeDefinition id="%{idp.persistentId.sourceAttribute}" xsi:type="ad:Simple"
    sourceAttributeID="uid">
    <resolver:Dependency ref="myLDAP" />
</resolver:AttributeDefinition>

<!--  Release to anyone -->
<afp:AttributeFilterPolicy id="PolicyforAnyone">
    <afp:PolicyRequirementRule xsi:type="basic:ANY" />

    <afp:AttributeRule attributeID="%{idp.persistentId.sourceAttribute}">
        <afp:PermitValueRule xsi:type="basic:ANY" />
    </afp:AttributeRule>

</afp:AttributeFilterPolicy>

conf/intercept/consent-intercept-config.xml
ユーザ同意画面にて%{idp.persistentId.sourceAttribute}を表示しないように、//util:list[@id="shibboleth.consent.attribute-release.BlacklistedAttributeIDs"]に%{idp.persistentId.sourceAttribute}を追加します。

<util:list id="shibboleth.consent.attribute-release.BlacklistedAttributeIDs">
    <value>transientId</value>
    <value>persistentId</value>
    <value>eduPersonTargetedID</value>
    <value>%{idp.persistentId.sourceAttribute}</value>
</util:list>

eduPersonTargetedId 属性の送信^{3.1時点の情報}

//saml2:Subject/saml2:NameIDとは別に//saml2:AttributeStatement/saml2:Attribute[@FriendlyName="eduPersonTargetedID"]としてeduPersonTargetedId属性を送信する設定は下記の通りです。

なお、この機能はShibboleth IdP 3ではDeprecated Featuresとなっています。

computedId

computedIdでの設定を下記に示します。Shibboleth IdP 2と同じ設定で送信可能です。

• conf/attribute-resolver.xml

  コード ブロック
  language xml title conf/attribute-resolver.xml collapse true
  <!-- ========================================== --> <!-- Attribute Definitions --> <!-- ========================================== --> <!-- Schema: eduPerson attributes --> <!-- Attribute Definition for eduPersonTargetedID --> <resolver:AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" xmlns="urn:mace:shibboleth:2.0:resolver:ad" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" sourceAttributeID="computedID"> <resolver:Dependency ref="computedID" /> <resolver:AttributeEncoder xsi:type="SAML1XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" /> <resolver:AttributeEncoder xsi:type="SAML2XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" /> </resolver:AttributeDefinition>     <!-- ========================================== --> <!-- Data Connectors --> <!-- ========================================== --> <!-- Computed targeted ID connector --> <resolver:DataConnector xsi:type="ComputedId" xmlns="urn:mace:shibboleth:2.0:resolver:dc" id="computedID" generatedAttributeID="computedID" sourceAttributeID="uid" salt="changethistosomethingrandom"> <resolver:Dependency ref="myLDAP" /> </resolver:DataConnector>

• conf/attribute-filter.xml

  コード ブロック
  language xml title conf/attribute-filter.xml collapse true
  <!-- Release to sp.example.jp --> <afp:AttributeFilterPolicy id="PolicyforSP1ExampleJP"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://sp.example.jp/shibboleth-sp" /> <afp:AttributeRule attributeID="eduPersonTargetedID"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

conf/attribute-resolver.xmlのData ConnectorはShibboleth IdP 3の機能を用いて、persistent-idの設定で定義したconf/saml-nameid.propertiesのプロパティを使って書くこともできます。

• conf/attribute-resolver.xml

  コード ブロック
  language xml title conf/attribute-resolver.xml collapse true
  <!-- ========================================== --> <!-- Data Connectors --> <!-- ========================================== --> <!-- Computed targeted ID connector --> <resolver:DataConnector xsi:type="ComputedId" xmlns="urn:mace:shibboleth:2.0:resolver:dc" id="computedID" generatedAttributeID="computedID" sourceAttributeID="%{idp.persistentId.sourceAttribute}" salt="changethistosomethingrandom"> <!-- salt="%{idp.persistentId.salt}"> --> <resolver:Dependency ref="%{idp.persistentId.sourceAttribute}" /> </resolver:DataConnector>

  注意
  Shibboleth IdP 3.1.2では、salt属性は%{idp.persistentId.salt}で置き換えられませんので、ご注意ください。[IDP-771]

storedId

storedIdでの設定を下記に示します。Shibboleth IdP 2と同じ設定で送信可能です。

• conf/attribute-resolver.xml

  コード ブロック
  language xml title conf/attribute-resolver.xml collapse true
  <!-- ========================================== --> <!-- Attribute Definitions --> <!-- ========================================== --> <!-- Schema: eduPerson attributes --> <!-- Attribute Definition for eduPersonTargetedID --> <resolver:AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" xmlns="urn:mace:shibboleth:2.0:resolver:ad" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" sourceAttributeID="computedID"> <resolver:Dependency ref="computedID" /> <resolver:AttributeEncoder xsi:type="SAML1XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" /> <resolver:AttributeEncoder xsi:type="SAML2XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" /> </resolver:AttributeDefinition>     <!-- ========================================== --> <!-- Data Connectors --> <!-- ========================================== --> <!-- Stored targeted ID connector --> <resolver:DataConnector xsi:type="StoredId" xmlns="urn:mace:shibboleth:2.0:resolver:dc" id="storedID" generatedAttributeID="storedID" sourceAttributeID="uid" salt="changethistosomethingrandom"> <resolver:Dependency ref="myLDAP" /> <ApplicationManagedConnection jdbcDriver="com.mysql.jdbc.Driver" jdbcURL="jdbc:mysql://localhost:3306/shibboleth?autoReconnect=true" jdbcUserName="username" jdbcPassword="password" /> </resolver:DataConnector>

• conf/attribute-filter.xml

  コード ブロック
  language xml title conf/attribute-filter.xml collapse true
  <!-- Release to sp.example.jp --> <afp:AttributeFilterPolicy id="PolicyforSP1ExampleJP"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://sp.example.jp/shibboleth-sp" /> <afp:AttributeRule attributeID="eduPersonTargetedID"> <afp:PermitValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy>

conf/attribute-resolver.xmlのData ConnectorはShibboleth IdP 3の機能を用いて、persistent-idの設定で定義したconf/global.xmlのbeanとconf/saml-nameid.propertiesのプロパティを使って書くこともできます。

• conf/attribute-resolver.xml

  コード ブロック
  language xml title conf/attribute-resolver.xml collapse true
  <!-- ========================================== --> <!-- Data Connectors --> <!-- ========================================== -->   <!-- Stored targeted ID connector --> <resolver:DataConnector xsi:type="StoredId" xmlns="urn:mace:shibboleth:2.0:resolver:dc" id="storedID" generatedAttributeID="storedID" sourceAttributeID="%{idp.persistentId.sourceAttribute}" salt="changethistosomethingrandom"> <!-- salt="%{idp.persistentId.salt}"> --> <resolver:Dependency ref="%{idp.persistentId.sourceAttribute}" /> <BeanManagedConnection>shibboleth.MySQLDataSource</BeanManagedConnection> </resolver:DataConnector>

  注意
  Shibboleth IdP 3.1.2では、salt属性は%{idp.persistentId.salt}で置き換えられませんので、ご注意ください。[IDP-771]

Attribute Query^{3.1時点の情報}

SAML 2 persistent IDでのAttribute Queryの許可

conf/c14n/subject-c14n.xml
conf/c14n/subject-c14n.xmlの<ref bean="c14n/SAML2Persistent" />をアンコメントします。

<!-- Handle a SAML 2 persistent ID, provided a stored strategy is in use. -->
<ref bean="c14n/SAML2Persistent" />

• p:validationQueryTimeout="5" />

• conf/idp.properties
idp.consent.StorageServiceをconf/global.xmlで定義したshibboleth.JPAStorageServiceに変更します。

  展開

  コード ブロック language xml title conf/idp.properties # Set to "shibboleth.StorageService" or custom bean for alternate storage of consent idp.consent.StorageService = shibboleth.JPAStorageService コード ブロック language diff title 差分 # Set to "shibboleth.StorageService" or custom bean for alternate storage of consent -#idp.consent.StorageService = shibboleth.ClientPersistentStorageService +idp.consent.StorageService = shibboleth.JPAStorageService

属性毎に同意を得る設定

• conf/idp.properties
idp.consent.allowPerAttributeをtrueに設定することで、属性毎にチェックボックスを付加することができます。

  展開

  コード ブロック language xml title conf/idp.properties # Flags controlling how built-in attribute consent feature operates #idp.consent.allowDoNotRemember = true #idp.consent.allowGlobal = true idp.consent.allowPerAttribute = true コード ブロック language diff title 差分 # Flags controlling how built-in attribute consent feature operates #idp.consent.allowDoNotRemember = true #idp.consent.allowGlobal = true -#idp.consent.allowPerAttribute = false +idp.consent.allowPerAttribute = true

送信済み属性の属性値が変化した場合に再同意を得る設定

• conf/idp.properties
idp.consent.compareValuesをtrueに設定することで、属性値が変化した場合に再度属性選択画面を表示することができます。

  展開
  コード ブロック language xml title conf/idp.properties # Whether attribute values and terms of use text are compared idp.consent.compareValues = true コード ブロック language diff title 差分 # Whether attribute values and terms of use text are compared -#idp.consent.compareValues = false +idp.consent.compareValues = true

同意機能の無効化設定

• conf/relying-party.xml
bean[@parent="Shibboleth.SSO"](SAML1)とbean[@parent="SAML2.SSO"]（SAML2)にあるp:postAuthenticationFlows="attribute-release"を削除します。

  展開

  コード ブロック language xml title conf/relying-party.xml <!-- Default configuration, with default settings applied for all profiles, and enables the attribute-release consent flow. --> <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty"> <property name="profileConfigurations"> <list> <bean parent="Shibboleth.SSO" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> <bean parent="SAML2.SSO" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean> コード ブロック language diff title 差分   <!-- Default configuration, with default settings applied for all profiles, and enables the attribute-release consent flow. --> <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty"> <property name="profileConfigurations"> <list> - <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> + <bean parent="Shibboleth.SSO" /> <ref bean="SAML1.AttributeQuery" /> <ref bean="SAML1.ArtifactResolution" /> - <bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release" /> + <bean parent="SAML2.SSO" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <ref bean="SAML2.AttributeQuery" /> <ref bean="SAML2.ArtifactResolution" /> <ref bean="Liberty.SSOS" /> </list> </property> </bean>

ログレベルの変更 

Shibboleth IdP 3.2より、ログレベルの変更がconf/idp.propertiesで行えるようになりました。

• conf/idp.properties
  

  設定できるプロパティ名はconf/logback.confの先頭を参照してください。

  展開
  コード ブロック language java title conf/idp.properties # Logging Level idp.loglevel.idp=DEBUG idp.loglevel.messages=DEBUG idp.loglevel.encryption=DEBUG コード ブロック language diff title 差分 +# Logging Level +idp.loglevel.idp=DEBUG +idp.loglevel.messages=DEBUG +idp.loglevel.encryption=DEBUG

アクセス制限(Shibboleth IdP 2のFPSP機能)

Shibboleth IdP 2におけるFPSPによるアクセス制御を行うには、GakuNinShibInstall > 技術ガイド > 実習セミナー > Shibboleth環境構築セミナー（活用編） > Shibboleth IdPによるアクセス制限を参照してください。

クラスタリング

Shibboleth IdP 3においてクラスタリングを行うには、クラスタリング設定を参照してください。

Full SLO(Single Logout)の設定方法

以下の個別ページを参照してください。
⇒Full SLO(Single Logout)の設定方法

クライアントIPアドレスチェックの無効化

IdPv3アップデートに関する情報

以下の個別ページを参照してください。
⇒IdPv3アップデートに関する情報

トラブルシューティング(IdPv3)

個別ページ（それぞれの内容は基本的に上記内容に埋め込まれています）

画面のカスタマイズ^{3.1時点の情報}

ロゴの変更

ロゴをデフォルトのOur Identity Providerから機関のロゴに変更する手順は下記の通りです。

1. ロゴファイル organization-logo.pngをedit-webapp/images/以下に配置します。 

   書式設定済み
   $ ls edit-webapp/images/ dummylogo-mobile.png dummylogo.png organization-logo.png

2. messages/error-messages.propertiesのidp.logoを上記1.で配置したファイル名に変更します。 なお、ファイル名は/images/から始めます。また、 idp.logo.alt-textを変更します。

   コード ブロック
   language xml title messages/error-messages.properties collapse true
   idp.logo = /images/organization-logo.png idp.logo.alt-text = Organization logo

3. bin/build.shを実行して、war/idp.warを作り直します。

   書式設定済み
   $ sudo -u tomcat env JAVA_HOME="${JAVA_HOME}" bin/build.sh Installation Directory: [/opt/shibboleth-idp] Rebuilding /opt/shibboleth-idp/war/idp.war ... ...done BUILD SUCCESSFUL Total time: 16 seconds

メッセージの多言語化

表示するメッセージを英語から日本語などに変更する場合は、下記の3つのメッセージファイルを用意します。文字コードはUTF-8である必要があります。

• messages/authn-messages_言語[_国].properties
• messages/consent-messages_言語[_国].properties
• messages/error-messages_言語[_国].properties

日本語の場合の例を下記に示します。

• messages/authn-messages_ja.properties
• messages/consent-messages_ja.properties
• messages/error-messages_ja.properties

イギリス英語の例を下記に示します。

• messages/authn-messages_en_GB.properties
• messages/consent-messages_en_GB.properties
• messages/error-messages_en_GB.properties

表示されるメッセージの優先順位は下記の通りです。

1. Accept-Languageヘッダーの一番目に一致するmessage_言語_国.properties
2. Accept-Languageヘッダーの一番目に一致するmessage_言語.properties
3. Javaのシステムプロパティに一致するmessage_言語_国.properties
4. Javaのシステムプロパティに一致するmessage_言語.properties
5. デフォルトのmessage.properties

Javaのシステムプロパティの優先順位は下記の通りです。

1. コマンドラインオプション user.languageとuser.country
2. 環境変数 LC_MESSAGES
3. 環境変数 LANG

ユーザ同意機能^{3.1時点の情報}

Shibboleth IdP 3には、uApprove相当のユーザ同意機能があります。uApprove JPとの違いはShibboleth IdP 3のユーザ同意機能とuApprove JPとの相違点を参照ください。

ユーザ同意の情報をMySQLに保存する設定

• StorageRecordsテーブルの作成

  コード ブロック
  language sql title MySQL collapse true
  CREATE TABLE `StorageRecords` ( `context` varchar(255) NOT NULL, `id` varchar(255) NOT NULL, `expires` bigint(20) DEFAULT NULL, `value` longtext NOT NULL, `version` bigint(20) NOT NULL, PRIMARY KEY (`context`,`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;

• conf/global.xml
  

  shibboleth.JPAStorageServiceを定義します。persistent-idの設定が設定済みの場合、shibboleth.MySQLDataSourceの定義は不要です。

  コード ブロック
  language xml title conf/global.xml (Tomcat7の場合) collapse true
  <!-- Use this file to define any custom beans needed globally. --> <bean id="shibboleth.JPAStorageService" class="org.opensaml.storage.impl.JPAStorageService" p:cleanupInterval="%{idp.storage.cleanupInterval:PT10M}" c:factory-ref="shibboleth.JPAStorageService.entityManagerFactory" /> <bean id="shibboleth.JPAStorageService.entityManagerFactory" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean"> <property name="packagesToScan" value="org.opensaml.storage.impl" /> <property name="dataSource" ref="shibboleth.MySQLDataSource" /> <property name="jpaVendorAdapter" ref="shibboleth.JPAStorageService.JPAVendorAdapter" /> <property name="jpaDialect"> <bean class="org.springframework.orm.jpa.vendor.HibernateJpaDialect" /> </property> </bean> <bean id="shibboleth.JPAStorageService.JPAVendorAdapter" class="org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter" p:database="MYSQL" />   <bean id="shibboleth.MySQLDataSource" class="org.apache.tomcat.dbcp.dbcp.BasicDataSource" p:driverClassName="com.mysql.jdbc.Driver" p:url="jdbc:mysql://localhost:3306/shibboleth" p:username="username" p:password="password" p:maxActive="10" p:maxIdle="5" p:maxWait="15000" p:testOnBorrow="true" p:validationQuery="select 1" p:validationQueryTimeout="5" />

  コード ブロック
  language xml title conf/global.xml (Tomcat8の場合) collapse true
  <!-- Use this file to define any custom beans needed globally. --> <bean id="shibboleth.JPAStorageService" class="org.opensaml.storage.impl.JPAStorageService" p:cleanupInterval="%{idp.storage.cleanupInterval:PT10M}" c:factory-ref="shibboleth.JPAStorageService.entityManagerFactory" /> <bean id="shibboleth.JPAStorageService.entityManagerFactory" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean"> <property name="packagesToScan" value="org.opensaml.storage.impl" /> <property name="dataSource" ref="shibboleth.MySQLDataSource" /> <property name="jpaVendorAdapter" ref="shibboleth.JPAStorageService.JPAVendorAdapter" /> <property name="jpaDialect"> <bean class="org.springframework.orm.jpa.vendor.HibernateJpaDialect" /> </property> </bean> <bean id="shibboleth.JPAStorageService.JPAVendorAdapter" class="org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter" p:database="MYSQL" /> <bean id="shibboleth.MySQLDataSource" class="org.apache.tomcat.dbcp.dbcp2.BasicDataSource" p:driverClassName="com.mysql.jdbc.Driver" p:url="jdbc:mysql://localhost:3306/shibboleth" p:username="username" p:password="password" p:maxIdle="5" p:testOnBorrow="true" p:validationQuery="select 1" p:validationQueryTimeout="5" />

  注意
  Tomcat 8の場合に、p:maxActiveおよびp:maxWaitを指定するとエラーとなり、Shibboleth IdPが起動しない。

• conf/idp.properties

  コード ブロック
  language xml title conf/idp.properties collapse true
  # Set to "shibboleth.StorageService" or custom bean for alternate storage of consent idp.consent.StorageService = shibboleth.JPAStorageService   # Maximum number of consent storage records # Set to -1 for unlimited server-side storage idp.consent.maxStoredRecords = -1

属性毎に同意を得る設定

• conf/idp.properties

  idp.consent.allowPerAttributeをtrueに設定することで、属性毎にチェックボックスを付加することができます。

  コード ブロック
  language xml title conf/idp.properties collapse true
  idp.consent.allowPerAttribute = true

  注意
  SPの必須属性にもチェックボックスが表示されるため、利用者がSPの必須属性のチェックを外して属性を送信しなかった場合にSPの利用できない可能性があります。

送信済み属性の属性値が変化した場合に再同意を得る設定

• conf/idp.properties

  コード ブロック
  language xml title conf/idp.properties collapse true
  # Whether attribute values and terms of use text are compared idp.consent.compareValues = true

アクセス制限(Shibboleth IdP 2のFPSP機能)

Shibboleth IdP 2においてFPSPによるアクセス制御を行うには、GakuNinShibInstall > 技術ガイド > 実習セミナー > Shibboleth環境構築セミナー（活用編） > Shibboleth IdPによるアクセス制限をご参照ください。

子ページ

参考

• [Shibboleth wiki] Identity Provider 3
• [Shibboleth wiki] IdP 3 / ReleaseNotes
• [SWITCH] Shibboleth Identity Provider (IdP) 3 Installation Guide
• [SWITCH] Shibboleth IdPv3: Considerations in the Context of SWITCHaai
  • 3.1 Operating Systems: Linux long-term support (Ubuntu Server 14.04 LTS / Red Hat Enterprise Linux 7 / CentOS 7)
  • 3.2 Java & Servlet Container: OpenJDK 7, Apache Tomcat 7 & Apache HTTP Server 2.4
  • 3.3 Database for persistentIDs and user consent: PostgreSQL
  • 3.4 IdP Session Storage: Client Session Storage with Cookies
• [upki-fed:00880] Re: Shibboleth IdP 3.0 リリース
• シボレス実習活用編
• 学認技術ガイド > IdP構築後のカスタマイズ 内「IdPアップデート手順」
• 学認技術ガイド > 貴学にてIdPv3をインストールする場合の構築手順

...

• 貴学にてIdPv3をインストールする場合の構築手順
• NIIオープンフォーラム2016 学認トラック
  • 「Shibboleth IdPバージョン3に向けたNIIの取り組み」西村 健（NII）
  • 「Shibboleth IdP ver.3との戦い」細川 達己（慶應義塾大学）