GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 6

changes.mady.by.user Yoshiaki Kawano

保存しました

次と比較

新しいバージョン 7

changes.mady.by.user Yoshiaki Kawano

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

以下のような設定で行います。
手順書と照らし合わせながら、作業を進めてください。

<IdP側の設定>

・認証フローの階層化

実習セミナーでは、ID/パスワードと証明書の2つの認証方式で確認します。
以下のように手順書にある内容を置き換えて設定します。
※「RemoteUser」は設定しません。

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
/opt/shibboleth-idp/conf/authn/general-authn.xmlの設定内容について

<bean id="authn/X509" parent="shibboleth.AuthenticationFlow"

(省略)

            <bean parent="shibboleth.SAML2AuthnContextClassRef"
                   c:classRef="urn:mace:gakunin.jp:idprivacy:ac:classes:Level2" />
           <bean parent="shibboleth.SAML2AuthnContextClassRef"
                   c:classRef="urn:mace:gakunin.jp:idprivacy:ac:classes:Level1" />

※Level3の設定を除いた、Level1~Level2の設定とします。

...

<SP側の設定>

...

・SP毎にセキュリティレベルを設定

証明書を使用した認証となるように設定します。各自作成したSPの認証をセキュリティレベル2に設定し、クライアント証明書を使った認証が必要と設定します。
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
/optetc/shibboleth-idphttpd/conf.d/relying-partyshib.xmlの設定内容についてconfの設定内容について
※DefaultRelyingPartyの設定は、手順通り行ってください。
以下のように各自作成したSPに対して認証レベルを設定します。
<util:list id="shibboleth.RelyingPartyOverrides">内に設定を追加します。
※ホスト名など赤文字部分は、各自の番号に合わせて修正してください。 
以下のようにIdPに設定しているセキュリティレベルの2を設定します。

<Location /secure>
  AuthType shibboleth
  ShibCompatWith24 On
 ShibRequestSetting authnContextClassRef <bean parent="ex-sp-test01" c:relyingPartyIds="https://ex-sp-test01.gakunin.nii.ac.jp/shibboleth-sp">
   <property name="profileConfigurations">
       <list>
           <bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release"
                                                    p:defaultAuthenticationMethods=" urn:mace:gakunin.jp:idprivacy:ac:classes:Level2"/>
            <ref bean="SAML2.ECP" />
            <ref bean="SAML2.Logout" />
            <ref bean="SAML2.AttributeQuery" />
            <ref bean="SAML2.ArtifactResolution" />
            <ref bean="Liberty.SSOS" />
        </list>
    </property>
</bean>
 require shib-session
</Location>

...

3. 手順書

下記の設定手順書を参照し、作業を行います。
※実習時の設定値に置き換える事を忘れないようにしてください。
※手順書内の「認証フローの階層化」を実施し、確認します。
 (説明上、「Password認証フローのExtendedフロー」は行いません。) 「Password認証フローのExtendedフロー」の設定については、行いません。
 (「対象SPで可能な認証方式からユーザが選択」で実施します。)

 

...

4. 動作確認

① 設定後、Tomcatの再起動を行ってない場合は行ってください。

...

⑧ 次に動作確認用のSPにアクセスし、認証要求がなくシングルサインオンにてログインできることを確認します。

一度ブラウザを閉じて、②でアクセスしたSPを動作確認用のSPに置き換えてアクセスします。一度ブラウザを閉じて、②でアクセスしたSPを動作確認用SPに置き換えてアクセスします。

進めていくとIDセキュリティレベルが動作確認用SPには設定されていないため、進めていくとデフォルト設定のID/パスワードの認証要求が行われるので、入力してログインしてください。パスワード認証となります。入力してログインしてください。

次に各自が作成したSPにアクセスします。今回は、認証済みですがアクセスレベルが高いため証明書認証が要求されることを確認します。 次に各自が作成したSPにアクセスします。今回はシングルサインオンとして認証済みですが、アクセスレベルが高いため証明書認証が要求されることを確認します。 

⑫ 認証後、正しく属性受信の確認ページが表示される事を確認してください。

...