IdPとのSP接続確認
...
※接続確認に使用する IdP の設定変更も必要となります。設定変更は IdP の管理者に依頼して下さい。
1. SP にテスト用のWebページを準備
ヒント | ||
---|---|---|
| ||
・「/var/www/html/secure」配下に属性確認用のPHPファイルが既に配置済みです。 |
以下のような/var/www/html/secure/phpinfo.phpを作成します。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
<?php phpinfo(); ?> |
または、属性確認用の簡単なPHPプログラムをご利用下さい。 ダウンロード 説明
2. shibdとhttpdの再起動(★)
...
本手順は、下図のようにユーザ端末のブラウザからhttps://…というURLにアクセスし、①から⑤の機能が赤線のように通信しあって結果を表示する動作を確認するものです。
接続確認の前に不足している設定を実施します。
1.attribute-map.xml, attribute-policy.xmlの準備
attribute-map.xml、attribute-policy.xmlファイルを差し替えます。
初期設定で「
...
title | 実習セミナー |
---|
...
/root/GETFILE」に取得している実習セミナー用のattribute-map.
...
xml、attribute-policy.xmlファイルを「/etc/shibboleth」配下にコピーし、デフォルトのファイルを差し替えてください。
この設定ファイルは、実習セミナー内のIdPサーバから全属性値を受け取る設定となっています。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
2. shibdとhttpdの再起動
設定ファイルを差し替えたら、shibdおよびhttpdを再起動してください。
接続確認前にshibdとhttpdを再起動します。 接続確認前にshibdとhttpdを再起動します。(★)
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
CentOS 7の場合コマンドが異なります。 パネル | # | |||||
情報 | ||||||
|
...
...
3. 構築したSPにアクセス
...
...
SPサーバへアクセスします。
...
title | 実習セミナー |
---|
...
以下のアドレスを各自のホスト名に変更してアクセスしてください。
https://ex-sp-test??.gakunin.nii.ac.jp/
...
secure/index.php
ヒント | ||
---|---|---|
| ||
・「/var/www/html |
...
/secure/ |
...
index. |
...
php」という属性確認用のPHPファイルが既に配置済みです。 |
展開 | ||||||
---|---|---|---|---|---|---|
| ||||||
SPへのアクセス時にエラーSPにアクセスした際に、ブラウザに下記のエラーが出力されます。
SELinuxがenabledになっている場合、このメッセージが表示されます。 SELinuxを無効にしてください。 ログインボタンを押した際にエラー(エラー:無効なクエリです)SP画面にてログインを押した際に、ブラウザに下記のエラーが出力されます。
→/etc/shibboleth/shibboleth2.xmlファイルのentityID設定が間違っている場合に表示されます。 参考情報: SPセッティング - shibboleth2.xml ファイル(★) ログインボタンを押した際にエラー(サーバが見つからない)SP画面にてログインを押した際に、ブラウザに下記のエラーが出力されます。
→/etc/shibboleth/shibboleth2.xmlファイルのDSサーバ参照設定のURLが間違っている可能性があります。 |
...
4. DSのIdP選択画面が表示
...
DSのIdP選択画面で、対象となるテストIdPを選択します。(★)
...
実習環境内にある確認用のIdPサーバを選択します。
以下を選択してください。
パネル | ||
---|---|---|
| ||
実習セミナー接続確認用IdP |
ヒント | ||
---|---|---|
| ||
一度選択したIdPが表示されている状態で、別のIdPを選択したい場合は、・実習環境内にある確認用のIdPサーバを選択します。 |
展開 | ||||
---|---|---|---|---|
| ||||
IdPを選択した際にエラー(shibsp::ConfigurationException)所属機関の選択画面にてIdPを選び「選択」ボタンを押した際に、ブラウザに下記のエラーが出力されます。
また、/var/log/shibboleth/shibd_warn.log に下記のエラーが出力されます。
→/etc/shibboleth/shibboleth2.xmlにてメタデータ署名検証用証明書の設定が間違っている可能性があります。 |
...
5. ログイン
...
IDとPasswordを入力してログインします。(★)
ヒント | ||
---|---|---|
| ||
・接続確認用ユーザ情報は、以下のようになっています。 |
...
展開 | ||
---|---|---|
| ||
属性値が全てNOT RECEIVEDになってしまうログイン後の各属性値の表示画面にて、値を取得できずにNOT RECEIVEDが表示されます。
→接続先IdPのattribute-filter.xmlにSPが設定されていない可能性があります。実習環境では、IdP選択時に「選択ボタン」下のリセットを押し、実習セミナー接続確認用IdPを選択しなおして下さい。 |
表示例)
phpinfoの場合
PHP Variables
variable | value |
_SERVER["unscoped-affiliation"] | faculty |
6. メタデータ署名検証が正常に機能していることの確認
ヒント | ||
---|---|---|
| ||
・実習セミナーでは改変されたメタデータが用意されていないのでこの項目は飛ばしてください。 |
shibboleth2.xmlに設定した取得するメタデータを改竄されたものに変更して、適切に署名検証が失敗することを確認してください。
shibboleth2.xmlの以下の部分を修正し、shibdを再起動してください。(元がgakunin-test-metadata.xmlの場合はgakunin-test-metadata-tampered.xmlに修正してください)
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
<MetadataProvider type="XML" uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata-tampered.xml" |
メタデータの署名検証に失敗した場合には、SPのログファイル(/var/log/shibboleth/shibd_warn.log)に以下の様なメッセージが出力されます。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
2012-08-30 14:45:07 WARN OpenSAML.MetadataFilter.Signature : filtering out group at root of instance after failed signature check: Unable to verify signature with supplied key(s). |
ただし、検証に失敗しても、以前に検証にパスしたメタデータがバッキングファイルにあればそれを読み込んでSPは起動するのでご注意ください。バッキングファイルが存在しなければ、信頼するメタデータが無い状態で起動します(いずれのIdPに接続しようとしてもそのIdPのメタデータが見つからない旨エラーが表示されます)。
バッキングファイルは /var/cache/shibboleth/federation-metadata.xml にあります。
...
Prevnextbuttons |
---|