...
本技術ガイドでは、フェデレーションに参加して連携する設定を説明していますが、ここでは、所属機関内のみで使用するSPを構築した場合など、特定のIdP・特定のSPの間でのみ連携する設定に変更する方法を説明します。
SP側shibboleth2.xmlとIdP側relyingxmlとIdP側metadata-partyproviders.xmlを編集し、以下のように設定します。
- SPは、DSを経由せず、特定のIdPのみ信頼する
- IdPは、特定のSPのみ信頼する
...
※DSを経由する設定にshibboleth2.xmlを戻したい場合は、こちらを参照してください。
...
metadata-
...
providers.xmlの設定
SPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってSPメタデータを取得してください。
...
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
(省略)
<!-- ========================================== -->
<!-- Metadata Configuration -->
<!-- ========================================== -->
<!-- MetadataProvider the combining other MetadataProviders -->
<metadata:MetadataProvider id="ShibbolethMetadata" xsi:type="metadata:ChainingMetadataProvider">
<!-- Load the IdP's own metadata. This is necessary for artifact support. -->
<!--
<metadata:MetadataProvider id="IdPMD" xsi:type="metadata:FilesystemMetadataProvider The EntityRoleWhiteList saves memory by only loading metadata from entity types
that you will interoperate with.
-->
<!-- ← 学認メタデータの自動ダウンロードを使用のでコメントアウト
<MetadataProvider id="HTTPMetadata"
xsi:type="FileBackedHTTPMetadataProvider"
metadataFile backingFile="
/opt/shibboleth-idp%{idp.home}/metadata/
idpgakunin-metadata-backing.xml"
maxRefreshDelay="P1D" />
-->
<!-- Example metadata provider. -->
<!-- Reads metadata from a URL and store a backup copy on the file system. -->
<!-- Validates the signature of the metadata and filters out all by SP entities in order to save memory -->
<!-- To use: fill in 'metadataURL' and 'backingFile' properties on MetadataResource element -->
<!-- コメントアウト
<metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
metadataURL metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml">
<metadata:MetadataFilter >
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
<MetadataFilter xsi:type="
metadata:ChainingFilterSignatureValidation"
>
<metadata:MetadataFilter xsi:type requireSignedMetadata="
metadata:RequiredValidUntiltrue"
maxValidityInterval="P15D" /> certificateFile="%{idp.home}/credentials/gakunin-signer-2010.cer"/>
--> ← 学認メタデータの自動ダウンロードを使用のでコメントアウト
<!--
<PublicKey>
<metadata:MetadataFilter xsi:type="metadata:SignatureValidation" THIS IS AN EXAMPLE
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxg0TyQAP/tIvOH89EtaX
uRRn8SYzTj7W1TbNY4VvBmobjkRmSkki4hH9x4sQpi635wn6WtXTN/FNNmkTK3N/
trustEngineRef="shibboleth.MetadataTrustEngine" LspmBWxfZS+n+cc7I82E5yvCAPX67QsZgqgglp2W5dvK/FsMMCS6X6SVqzBLMP88
NenXKxY+HMxMs0sT0UKYh1cAEqadrHRBO65aDBcm5a0sBVYt9K6pgaOHrp/zSIbh
nR5tFFLjBbtFktDpHL3AdGBH3OYidNGKBO3tJ3Ms7LeKXsM0+0Y4P+9fHZINL2X3
requireSignedMetadata="true" /> E2N6GVnKs5PZTg9sP0FtIpAbYm/+zCx7Yj1ET/Er8mDd6tNVGSQsn9s5xUBwGqn1
4wIDAQAB
</PublicKey>
<metadata:MetadataFilter </MetadataFilter>
-->
<!-- ← 学認メタデータの自動ダウンロードを使用のでコメントアウト
<MetadataFilter xsi:type="
metadata:EntityRoleWhiteList">
<metadata:RetainedRole>samlmd: <RetainedRole>md:SPSSODescriptor</
metadata:RetainedRole>
</metadata:MetadataFilter>
</metadata:MetadataFilter>
</metadata:MetadataProvider>
コメントアウト -->
↓以下の2行を追加
<metadata:MetadataProvider </MetadataFilter>
</MetadataProvider>
--> ← 学認メタデータの自動ダウンロードを使用のでコメントアウト
↓以下を追加
<MetadataProvider id="SP名MD" xsi:type="
metadata:FilesystemMetadataProvider"
metadataFile=" /opt/shibboleth-idp%{idp.home}/metadata/メタデータファイル名"/> </metadata:MetadataProvider>
(省略)
|
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
...
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
service tomcat6tomcat7 restart |
※フェデレーションのメタデータの参照設定を行った設定にrelying ※フェデレーションのメタデータの参照設定を行った設定にmetadata-partyproviders.xmlを戻す場合は、こちらを参照してください。
...