よくあるご質問 (FAQ)
| 目次 | ||
|---|---|---|
|
WAYFless URLを持つSPをプライベートサービスに登録するには?
SPによってはディスカバリーサービス(DS)のIdPリストから所属機関を選択して認証する方法のほかに、所属機関ごとに用意されるWAYFless URLを用いてログインする方法が提供される場合があります。WAYFless URLは所属機関ごとに異なるURLが発行されるため、クラウドゲートウェイの利用可能サービスとして表示するためにはプライベートサービスを活用する必要があります。URLは所属機関ごとに異なるURLが発行されるため、学認クラウドゲートウェイサービスの利用可能サービスとして表示するためにはプライベートサービスを活用する必要があります。
あなたが所属機関のIdP管理者である場合には、プライベートサービスを機関グループに接続することで、機関に所属するユーザが利用可能なサービスとして公開することができます。プライベートサービスを使ったWAYFless URLのサービス追加について以下に設定例を記載します (事前に プライベートサービス のドキュメントをご一読ください)。
- クラウドゲートウェイ 学認クラウドゲートウェイサービス ( https://cg.gakunin.jp/ ) にログインしてください。
- クラウドゲートウェイ画面右上のドロップダウンメニューから「プライベートサービスの登録」をクリックしてください。ゲートウェイトップ画面右上のドロップダウンメニューから「プライベートサービスの登録」をクリックしてください。
- 「プライベートサービスの登録」で以下を設定してください。
- サービス名称 :任意の名前を設定することができます。所属機関のユーザに見せることを考えると学認の IdP・SP一覧 と同じ名前にしておくほうが混乱が少ないと考えられますが、サービス名称はクラウドゲートウェイ内で一意でなくてはならないという制約があります。「同一のグループ名が存在します」というエラーが表示される場合はサービス名称を修正してください。 と同じ名前にしておくほうが混乱が少ないと考えられますが、サービス名称は学認クラウドゲートウェイサービス内で一意でなくてはならないという制約があります。「同一のグループ名が存在します」というエラーが表示される場合はサービス名称を修正してください。
- 接続するグループ:所属する機関グループを選択します。
サービスアイコン:任意のアイコンを選択してください。もしくは上記 IdP・SP一覧 にロゴが表示されている場合はその画像をアップロードすることもできます。
サービスURL :SPから指定されたWAYFless URLを設定してください。SPごとの具体的な設定例を以下に記載します
...
meatwiki等の連携SPにて学認クラウドゲートウェイサービスで設定したグループ権限でアクセスできない
...
meatwikiをはじめとした学認クラウドゲートウェイサービス連携SPでは「MYグループ」で設定したグループ情報に基づいて、SPごとに定められた処理(アクセス権の付与など)が行われています。グループ情報の登録が学認クラウドゲートウェイサービス上では正しくなされているにも関わらず、連携SP側に正しいグループ情報が渡っていない(許可されているはずのページが表示されない、スペースが表示されないなど)の場合には次の原因が考えられます。
meatwikiをはじめとしたクラウドゲートウェイ連携SPでは「MYグループ」で設定したグループ情報に基づいて、SPごとに定められた処理(アクセス権の付与など)が行われています。グループ情報の登録がクラウドゲートウェイ上では正しくなされているにも関わらず、連携SP側に正しいグループ情報が渡っていない(許可されているはずのページが表示されない、スペースが表示されないなど)の場合には次の原因が考えられます。
IdPから連携SPへ必要な属性が送信されていない
クラウドゲートウェイへ必要な属性を送信しているのと同様に、連携SPへもそれが要求している属性を送信してください。特にePPN 学認クラウドゲートウェイサービスへ必要な属性を送信しているのと同様に、連携SPへもそれが要求している属性を送信してください。特にePPN (eduPersonPrincipalName) を連携SPへも送信しないとグループ情報が渡らない原因となります。
ePPN属性の値が変更になった
以前はアクセスできていたものがメンバー変更等を行っていないのにアクセスできなくなった場合、IdP側の設定変更でePPN属性の値が変更になった可能性があります。連携SPはePPNをユーザのIDとしていますのでこれが変更になっていると別人として扱われ、必要な権限が得られません。さらにクラウドゲートウェイもePPNをユーザのIDとしているため、旧ePPNでグループのメンバーだったという情報が新ePPNには引き継がれません。このようになってしまった場合はグループ管理者に依頼して新ePPNのアカウントを改めてグループメンバーにしてもらう必要があります。その後、連携SPにアクセスし再度ログインすれば、グループメンバーとして正しく認識されるはずです。以前はアクセスできていたものがメンバー変更等を行っていないのにアクセスできなくなった場合、IdP側の設定変更でePPN属性の値が変更になった可能性があります。連携SPはePPNをユーザのIDとしていますのでこれが変更になっていると別人として扱われ、必要な権限が得られません。さらに学認クラウドゲートウェイサービスもePPNをユーザのIDとしているため、旧ePPNでグループのメンバーだったという情報が新ePPNには引き継がれません。このようになってしまった場合はグループ管理者に依頼して新ePPNのアカウントを改めてグループメンバーにしてもらう必要があります。その後、連携SPにアクセスし再度ログインすれば、グループメンバーとして正しく認識されるはずです。
詳しくは所属機関のIdP管理者にお問い合わせください。これはスコープが変更になった場合も同様です。
IdPから送信されるePPNがSPごとに異なっている
IdPからクラウドゲートウェイと連携SPにそれぞれ異なるePPN IdPから学認クラウドゲートウェイサービスと連携SPにそれぞれ異なるePPN (eduPersonPrincipalName) が送信されていることが原因で正しいグループ情報が渡らず、結果として意図した動作ができないという場合があります。これは連携SPがePPNをキーとしてクラウドゲートウェイへ問い合わせを行うために、SPごとにそれぞれ異なるePPNが送信されている場合には別の人物として取り扱われるためです。が送信されていることが原因で正しいグループ情報が渡らず、結果として意図した動作ができないという場合があります。これは連携SPがePPNをキーとして学認クラウドゲートウェイサービスへ問い合わせを行うために、SPごとにそれぞれ異なるePPNが送信されている場合には別の人物として取り扱われるためです。
ePPNの送信に関しては、フェデレーションに参加する全てのSPに対して同じ値を送信する必要があることが学認の属性リスト ( eduPersonPrincipalName ) にも明記されています。
...
学認クラウドゲートウェイサービスとIdPから得られる情報の違いについて
クラウドゲートウェイではグループID学認クラウドゲートウェイサービスではグループID(isMemberOf)のほかにクラウドゲートウェイ上に保持する属性としてeduPersonTargetedID のほかに学認クラウドゲートウェイサービス上に保持する属性としてeduPersonTargetedID (ePTID)、メールアドレス(mail)、氏名(displayName)等を保持しており、これらを利用者の同意に基づいて対応SPへ送信することが可能です。
また、同時にこれらの情報は所属機関IdPで属性の送信を許可している場合にはIdPから情報を得ることも可能となっています。
...
- IdPから送信される属性は学認技術運用基準 ( https://www.gakunin.jp/join/production/ ) 等の定めにより、送信される属性がその機関によって保証されています。
送信できる属性については各所属機関のIdP管理者によって設定されます(最終的にはIdP付属の機能やuApprove JP等によりユーザが属性送信に同意したものが送られますが、その範囲はIdP管理者が許可した範囲にとどまります)。また、属性送信可否の決定プロセスは各機関でまちまちですが、上位委員会の決定に従うところもあるようです。 - 学認クラウドゲートウェイサービスから送信される属性のうちePTIDを除く属性についてはユーザ自身が設定した値であり、入力された値の正確性の保証はされません。クラウドゲートウェイから送信される属性のうちePTIDを除く属性についてはユーザ自身が設定した値であり、入力された値の正確性の保証はされません。
送信できる属性については各グループ管理者によって決定されます(最終的にはユーザが属性送信に同意したものが送られますが、その範囲はグループ管理者が許可した範囲にとどまります)。
...