GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 7

changes.mady.by.user Yoshiaki Kawano

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。
情報

以下で認証方式を選択できる簡便な方法(Extendedフロー)を説明していますが、3.3以降であればより汎用的で複雑な挙動が実現できるMFAによる方法もご参照ください。

警告

特にTOTPとの共存はNGですので、TOTPを認証方式の一つとして選択させたい場合はMFAによる方法をご検討ください。

もしくは、未検証ですが以下のforkで解消している可能性がありますのでお試しください。検証結果を学認事務局と共有いただけましたら幸いです。
https://github.com/joeFischetti/Shibboleth-IdP3-TOTP-Auth

1. はじめに

※前提として、「セキュリティレベルを設定したSPに対する認証」が実施済みであるとします。
本メニューでは、IdPをカスタマイズします。

ログイン時に対象SPが使用できる認証方式をユーザが選択してログインできるようになります。
セキュアなクライアント証明書認証などが行えるユーザは、ID/パスワードの入力が必要なく、SPにアクセスできます。

...

以下のような設定で行います。
手順書と照らし合わせながら、作業を進めてください。

・Password認証フローの設定

以下のように/opt/shibboleth-idp/conf/authn/authn.propertiesを変更します。
※「Level3」は追加せず、「Level2」のみ設定を追加します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

(省略)

/opt/shibboleth-idp/conf/authn//password-authn-config.xmlの設定内容について
実習セミナーではLevel3は追加せず、Level2のみ設定を追加してください。

<bean id="authn/Password" parent="shibboleth.AuthenticationFlow"
        p:passiveAuthenticationSupported="true"
        p:forcedAuthenticationSupported="true">

(省略)

        <!-- -->
        <bean parent="shibboleth.SAML2AuthnContextClassRef"
        c:classRef="     saml2/urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport, \
     saml2/urn:oasis:names:tc:SAML:2.0:ac:classes:Password, \
     saml1/urn:oasis:names:tc:SAML:1.0:am:password, \
     saml2/urn:mace:gakunin.jp:idprivacy:ac:classes:Level1" />
        <!-- Extended Flows -->
        <bean parent="shibboleth.SAML2AuthnContextClassRef"
        c:classRef=", \
     saml2/urn:mace:gakunin.jp:idprivacy:ac:classes:Level2" />
 # Validators are controlled in password-authn-config.xml

(省略) 

・Extendedフローの設定 

...

borderColor#cccccc
bgColor#eeeeee
borderStylesolid

以下のように/opt/shibboleth-idp/conf/authn/

...

password-authn-config.xmlを変更します。
※「X509」は設定せず、「RemoteUser」のみ設定します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

※4.2からExtendedフローのサンプルが削除されておりますので、最終行の1行上に以下の赤字部分を挿入します。 

.xmlの設定内容について
実習セミナーではRemoteUserは設定せず、X509のみ設定してください。
Extendedフローのbeanをアンコメントし、設定します。 

    <!-- -->
     <bean id="shibboleth.authn.Password.ExtendedFlows" class="java.lang.String" c:_0="X509RemoteUser" />
    <util    <util:list id="shibboleth.authn.Password.ExtendedFlowParameters">
   <    </util:list>
   <util    <util:list id="shibboleth.authn.Password.PrincipalOverride">
       <bean        <bean parent="shibboleth.SAML2AuthnContextClassRef"
           c            c:classRef="urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport" />
       <bean        <bean parent="shibboleth.SAML2AuthnContextClassRef"
           c            c:classRef="urn:oasis:names:tc:SAML:2.0:ac:classes:Password" />
       <bean        <bean parent="shibboleth.SAML1AuthenticationMethod"
            c            c:method="urn:oasis:names:tc:SAML:1.0:am:password" />
       <!-- -->
       <bean parent="shibboleth.SAML2AuthnContextClassRef"
           c:classRef="urn:mace:gakunin.jp:idprivacy:ac:classes:Level1" />
   <    </util:list>
<!--
   -->

...

/beans>

・ログイン画面(login.vm)の置き換え

同様に4.2以降のログイン画面ではExtendedフローのコードが削除されておりますので、添付のもので置き換えます。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# wget https://ex-ds.gakunin.nii.ac.jp/login.vm
# chown root:root login.vm
# mv -f login.vm /opt/shibboleth-idp/views/


...

3. 手順書

下記の設定手順書を参照し、作業を行います。
※実習時の設定値に置き換える事を忘れないようにしてください。
※手順書内の「Password認証フローのExtendedフロー」を実施し、確認します。

 

...

4. 動作確認

※確認手順の説明に記載されている「動作確認用のSP」は、現在使用しているフェデレーションによって
 アクセス先が変わります。(どちらかのフェデレーションに参加して利用できる状態にしておいてください。)

実習セミナーフェデレーションhttps://ex-sp.gakunin.nii.ac.jp/
テストフェデレーションhttps://test-sp1.gakunin.nii.ac.jp/

① 設定後、Jettyの再起動を行ってない場合は行ってください。① 設定後、Tomcatの再起動を行ってない場合は行ってください。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
systemctl restart tomcatjetty

各自が使用するSPの接続確認用ページにアクセスします。 各自が使用するSPの接続確認用ページにアクセスします。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
例)1番を割り振られた場合 https://ex-sp-test01.gakunin.nii.ac.jp/

③ ログインボタンをクリックします。

④ DSの設定を行っている場合、所属機関の選択画面が表示されるので、各自が使用するIdPを選択します。

認証方式を選択する画面が表示されるのですが、各自が使用するSPのセキュリティレベルが証明書認証が
  必要と設定しているので、X509ボタン(クライアント証明書)のみ表示され、選択可能となります。 

⑥ X509ボタンをクリックすると証明書認証用のログイン画面が表示されるので、
  Certificate Loginボタンをクリックします。

⑦ 個人証明書の要求というダイアログが表示されるので、対象となるクライアント証明書を選択して、
  OKボタンをクリックします。
  ※送信属性同意画面が表示される場合は、そのまま設定値を送信しします。

⑧ 正しく属性受信の確認ページが表示される事を確認してください。

⑨ 次に動作確認用のSPにアクセスし、認証方式にID/パスワード認証、証明書認証の選択が行えることを
  確認します。

⑩ 一度ブラウザを閉じて、②でアクセスしたSPを動作確認用のSPに置き換えてアクセスします。

⑪ 進めていくと⑤の認証方式を選択する画面でID/パスワード認証と証明書認証の2つのボタンが
  表示されることを確認します。

⑫ ID/パスワード認証を選択する場合は、ユーザ名とパスワードを入力してボタンをクリックしてください。

認証方式を選択する画面が表示されるのですが、各自が使用するSPのセキュリティレベルが証明書認証が
  必要と設定しているので、RemoteUserボタン(クライアント証明書)のみ表示され、選択可能となります。 

⑥ 個人証明書の要求というダイアログが表示されるので、対象となるクライアント証明書を選択して、
  OKボタンをクリックします。
  ※送信属性同意画面が表示される場合は、そのまま設定値を送信しします。

⑦ 正しく属性受信の確認ページが表示される事を確認してください。

⑧ この状態で動作確認用のSPにアクセスすると、セキュリティレベルが低いためSSOにより認証がスキップされます。

⑨ 一度ブラウザを閉じて、動作確認用のSPにアクセスします。

⑩ 進めていくと動作確認用のSPはID/パスワード認証でも認証が可能であるため、認証方式を選択する
  画面では、Loginボタン(ID/パスワード)とRemoteUserボタン(クライアント証明書)の2つのボタンが表示されます。

⑪ Loginボタン(ID/パスワード)を選択する場合は、ユーザ名とパスワードを入力してボタンをクリックしてください。

⑫ 認証後、正しく属性受信の確認ページが表示される事を確認してください。

⑬ この状態で各自が使用するSPにアクセスすると、セキュリティレベルが上なので⑤と同じ画面が表示されます。⑬ 認証後、正しく属性受信の確認ページが表示される事を確認してください。

Prevnextbuttons