metadata-providers.xml
...
ファイルの変更
メタデータの自動ダウンロードやローカルのメタデータを参照するためにmetadata-providers.xml ファイルを変更します。
学術認証フェデレーションのメタデータを自動的にダウンロードするために IdPのトラストアンカーの確認と必要なCA証明書の導入 のページを参照して必要なCA証明書が導入されていることをご確認ください。
また検証用証明書をダウンロードして、任意のディレクトリに置き、そのパスを設定します。
また検証用証明書(https://metadata.gakunin.nii.ac.jp/gakunin-signer-2010.cer)をダウンロードして、任意のディレクトリに置き、そのパスを設定します。
以下では「/opt/shibboleth-idp/credentials/」に置いたものとして説明しています。
(上記は運用フェデレーションの場合で、テストフェデレーションの場合はgakunin-test-signer-2011.cerをダウンロードして使用してください。
(詳しくはテストフェデレーションルールをご参照ください。 → テストフェデレーションルール)
学術認証フェデレーションのメタデータを自動的にダウンロードする設定をします。
運用/テストフェデレーションの設定情報
...
...
...
...
...
...
...
...
...
...
1.メタデータダウンロード設定
学術認証フェデレーションのメタデータを自動的にダウンロードする設定をします。
警告 |
---|
|
運用フェデレーション用メタデータと、テストフェデレーション用メタデータを同時に読み込まないようにしてください。テストフェデレーションから運用フェデレーションへの移行時にテストフェデレーション用メタデータの自動読み込み設定を削除せず、運用フェデレーション用メタデータの自動読み込み設定を追記した場合に、両方のメタデータを読み込んだ状態となります。 運用フェデレーション用メタデータ・テストフェデレーション用メタデータの両方を自動読み込みする設定になっていると、意図せずテストフェデレーション用メタデータの情報が利用されることで運用フェデレーションSPとの認証でエラーが発生する可能性があります。 |
...
同様の理由でSP側の混乱を避けるため、テストフェデレーションから運用フェデレーションへ同一entityIDで移行する場合には、テストフェデレーション側のIdPは廃止申請を行ってください。その後テスト用途でテストフェデレーションにIdPを登録する場合には運用フェデレーションのものと異なるentityIDで登録するようにしてください。 |
/opt/shibboleth-idp/conf/metadata-providers.xml ファイルを以下のように編集してください。(★)
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
The EntityRoleWhiteList saves memory by only loading metadata from entity typesSAML roles that you will the IdP needs to interoperate with. -->
<!-- --> ← コメントアウト解除
<MetadataProvider id="HTTPMetadata"
xsi xsi:type="FileBackedHTTPMetadataProvider"
backingFile backingFile="%{idp.home}/metadata/localCopyFromXYZHTTPgakunin-metadata-backing.xml"
↑ メタデータは、このファイル名で保存
metadataURL metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"> ↑ 参照先ダウンロードメタデータのアドレス <MetadataFilter xsi:type="SignatureValidation"
requireSignedMetadata="true">
<security:TrustEngine id="MyTrustEngine" xsi:type="security:StaticExplicitKeySignature">
<security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
<security:Certificate>%certificateFile="%{idp.home}/credentials/gakunin-signer-2010.cer</security:Certificate>
↑ メタデータの署名検証用証明書
</security:Credential>
</security:TrustEngine>
<!-- ← 公開鍵をファイルで指定するのでコメントアウト
<PublicKey>
THIS IS AN EXAMPLE
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxg0TyQAP/tIvOH89EtaX
uRRn8SYzTj7W1TbNY4VvBmobjkRmSkki4hH9x4sQpi635wn6WtXTN/FNNmkTK3N/
LspmBWxfZS+n+cc7I82E5yvCAPX67QsZgqgglp2W5dvK/FsMMCS6X6SVqzBLMP88
NenXKxY+HMxMs0sT0UKYh1cAEqadrHRBO65aDBcm5a0sBVYt9K6pgaOHrp/zSIbh
nR5tFFLjBbtFktDpHL3AdGBH3OYidNGKBO3tJ3Ms7LeKXsM0+0Y4P+9fHZINL2X3
E2N6GVnKs5PZTg9sP0FtIpAbYm/+zCx7Yj1ET/Er8mDd6tNVGSQsn9s5xUBwGqn1
4wIDAQAB
</PublicKey>
--> ← 公開鍵をファイルで指定するのでコメントアウト
</MetadataFilter>
2017.cer" /> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityIntervalmaxValidityInterval=" P15DP15D"/> <MetadataFilter xsi:type="EntityRoleWhiteList"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider>
<!-- --> ← コメントアウト解除
|
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
...
⇒メタデータのvalidUntilを検証する設定方法)
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
Tomcatを”tomcat”ユーザで実行する場合かつ当該ディレクトリの所有者が適切に設定されていない場合は、Tomcatが自動取得したメタデータを保存できるよう、ディレクトリの所有者を変更します。
...
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
...