...
学認に参加しているSPでeduGAINメタデータを読み込む手順です。技術ガイド shibboleth2.xml ファイル の手順に従って、学認の運用フェデレーションメタデータを読み込んでいる前提で説明します。
eduGAINメタデータを検証するための証明書(https://technical.edugain.org/mds-v1v2.cer)をダウンロードして、任意のディレクトリに置き、そのパスを設定します。(以下では「 /etc/shibboleth/cert/」に置いたものとして説明しています)
ダウンロードした検証用証明書のフィンガープリントが下記と一致するか確認してください。
SHA-256
| パネル |
|---|
SHA-256: 3E:A8:A0:D2:9C:B4:0E:73:96:FA:B1:77:C5:BF:F2:21:81:4E:60:67:51:78:5D:5E:7B:FA:59:4E:36:2F:C6:A6 |
SHA-1
| パネル |
|---|
SHA-1: 1A:D3:8C:97:3E:22:9C:84:59:C8:5C:BF:D7:FB:F1:8A:5E:61:07:CABD:21:40:48:9A:9B:D7:40:44:DD:68:05:34:F7:78:88:A9:C1:3B:0A:C1:7C:4F:3A:03:6E:0F:EC:6D:89:99:95 |
eduGAINメタデータを自動的にダウンロードし、検証するための設定を行います。/etc/shibboleth/shibboleth2.xml ファイルで、学認の運用フェデレーションメタデータを読み込む設定の直下に下記の設定を追加してください。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
<!-- for eduGAIN -->
<MetadataProvider type="XML"
url="http://edugain.cdn.samlbits.net/edugain-v1v2.xml"
backingFilePath="edugain-backing.xml" maxRefreshDelay="7200">
↑ eduGAINメタデータは上記のファイル名で保存されます。必要に応じて調整してください。
<MetadataFilter type="RequireValidUntil" maxValidityInterval="777600"/>
↑ 9日間(777600秒)を設定します。
<MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/mds-v1v2.cer"/>
<DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true"
attributeName="http://macedir.org/entity-category"
attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
attributeValue="http://refeds.org/category/hide-from-discovery" />
</MetadataProvider>
|
| ヒント |
|---|
バッキングファイルが他者によって変更されないことが確実な場合はSignature ローカルのバッキングファイルが他者によって変更されないことが確実な場合はSignature MetadataFilterの末尾に verifyBackup="false" を追加してください。起動時のメタデータ読み込み時にバッキングファイルの署名検証がスキップされ起動が速くなります。(バージョン2.6およびそれ以降で対応) | パネル |
|---|
<MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/mds-v1v2.cer" verifyBackup="false"/>
|
|
...