情報 |
---|
(更新情報2024-02-06) eduGAINメタデータURLを学認でホストされたものに更新しました。 (更新情報2022-04-28) eduGAIN側のメタデータ署名用証明書更新に伴い証明書フィンガープリントを更新しました。
(更新情報2021-04-05) eduGAIN側のメタデータ署名用証明書更新に伴い証明書フィンガープリントを更新しました。ただし公開鍵は同一ですので以前の設定のままのIdP/SPがあっても問題になることはないと思われます。
(更新情報2020-09-02) IdPの設定手順に確認方法を追記しました。 (更新情報2019-06-13) eduGAIN側のメタデータ署名用証明書更新に伴い証明書およびダウンロードURLを更新しました。ただし公開鍵は同一ですので以前の設定のままのIdP/SPがあっても問題になることはないと思われます。 (更新情報2018-11-05) eduGAINメタデータの取得にsamlbits.netを使うように更新されております。こちらを用いることにより安定性を向上させることができますので、すでに設定済みのIdP/SPについても今一度ご確認ください。 |
...
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
<MetadataProvider id="HTTPMetadata-eduGAIN"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/edugain-back ing.xml"
↑ eduGAINメタデータは上記のファイル名で保存されます。必要に応じて調整してください。 metadataURL="http
https:// edugainmetadata.gakunin. cdnnii. samlbitsac. netjp/edugain-v2.xml" >
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
certificateFile="%{idp.home}/credentials/mds-v2.cer"/>
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P9D" />
↑ 9日間を設定します。
<!-- MetadataFilter xsi:type="SchemaValidation"/ -->
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
|
...
学認に参加しているSPでeduGAINメタデータを読み込む手順です。技術ガイド shibboleth2.xml ファイル の手順に従って、学認の運用フェデレーションメタデータを読み込んでいる前提で説明します。
eduGAINメタデータを検証するための証明書(https://technical.edugain.org/mds-v1v2.cer)をダウンロードして、任意のディレクトリに置き、そのパスを設定します。(以下では「 /etc/shibboleth/cert/」に置いたものとして説明しています)
ダウンロードした検証用証明書のフィンガープリントが下記と一致するか確認してください。
SHA-256
パネル |
---|
SHA-256: 3E:A8:A0:D2:9C:B4:0E:73:96:FA:B1:77:C5:BF:F2:21:81:4E:60:67:51:78:5D:5E:7B:FA:59:4E:36:2F:C6:A6 |
SHA-1
パネル |
---|
SHA-1: 1A:D3:8C:97:3E:22:9C:84:59:C8:5C:BF:D7:FB:F1:8A:5E:61:07:CA BD:21:40:48:9A:9B:D7:40:44:DD:68:05:34:F7:78:88:A9:C1:3B:0A:C1:7C:4F:3A:03:6E:0F:EC:6D:89:99:95 |
eduGAINメタデータを自動的にダウンロードし、検証するための設定を行います。/etc/shibboleth/shibboleth2.xml ファイルで、学認の運用フェデレーションメタデータを読み込む設定の直下に下記の設定を追加してください。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
<!-- for eduGAIN --> <MetadataProvider type="XML" url="httphttps://edugainmetadata.gakunin.cdnnii.samlbitsac.netjp/edugain-v1v2.xml"
backingFilePath="edugain-backing.xml" maxRefreshDelay="7200"> ↑ eduGAINメタデータは上記のファイル名で 保存されます。必要に応じて調整してください。
<MetadataFilter type="RequireValidUntil" maxValidityInterval="777600"/> ↑ 9日間(777600 秒)を設定します。 <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/mds-v1v2.cer"/> <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true" attributeName="http://macedir.org/entity-category" attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" attributeValue="http://refeds.org/category/hide-from-discovery" />
</MetadataProvider>
|
ヒント |
---|
バッキングファイルが他者によって変更されないことが確実な場合はSignature ローカルのバッキングファイルが他者によって変更されないことが確実な場合はSignature MetadataFilterの末尾に verifyBackup="false" を追加してください。起動時のメタデータ読み込み時にバッキングファイルの署名検証がスキップされ起動が速くなります。(バージョン2.6およびそれ以降で対応) パネル |
---|
<MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/mds-v1v2.cer" verifyBackup="false" />
|
|
...