...
このページに書いてある手順に従うことにより、学認に参加しているSPについて、attribute-filter.xml を手で修正することなく、IdPから属性送信を行うかどうかを選択できるようになります。を手で修正することなく、学認申請システムでの選択に従ってIdPから属性送信を行うことができるようになります。
0. 機能および前提条件
属性送信対象SPの追加・削除のみが操作可能で、個々の属性を送信するか否かをIdP管理者が操作することはできません。SPが学認に申請した通りに属性を送ります。
...
情報 |
---|
現在IdPv3向けの設定が暫定的に入っております。「a) 学認申請システムが生成したattribute-filterを直接読み込む方法」のみの対応で、また今のところテストフェデレーションのみの対応です。また、現在の設定では定期的に再取得することができておりませんので、より適切な設定を調査中です。filterを直接読み込む方法」のみの対応です。また、現在の設定では定期的に再取得することができておりませんので、より適切な設定を調査中です。 |
情報 |
---|
任意属性については uApprove.jp uApproveJP の機能により利用者が送信するかどうかを選択できます。 |
注意 Shibboleth IdP 2.4.4(およびそれ以降)をご利用ください。それ以前のバージョンでは、リモートからのattribute-filterの取得停止、およびメタデータ取得停止の問題を発生させることが確認されております。
また、以下のuApprove.jpの制約から、IdPv3を用いることはできません。
uApprove.jpがインストールされていることが必須です。(インストールされていない場合はuApprove.jpのスキーマを読み込む処理でエラーとなります)
注意 現在uApprove JP 2.5以降の書式には対応しておりません。必要な方は事務局までお問い合わせください。4およびそれ以降をご利用ください。それ以前のバージョンでは、リモートからのattribute-filterの取得停止、およびメタデータ取得停止の問題が発生することが確認されております。
学認申請システムが生成したattribute-filterのattributeIDに記載されている値と、IdPの /opt/shibboleth-idp/conf/attribute-resolver.xml に記載されているidの値が一致していること
最新のattribute-resolver.xmlテンプレートの利用を推奨します。⇒テンプレート注意 attribute-resolver.xmlテンプレートを更新する際には、idの変更を含む場合がありますのであわせてattribute-filter.xmlの確認および修正も行ってください。
また、uApprove.jpの設定ファイル attribute-list にも影響を受ける箇所がありますので適宜修正してください。(確認されているのはemail→mailのみです。また、attribute-list が未修正でも機能に問題はありません。)
- 学認申請システムが提供するattribute-filterの提供元を指定するために、IdPの申請書ベースIDが必要です。申請書ベースIDは、学認申請システムの承認済みIdPの詳細画面から確認することができます。
- 例として示す設定ファイルの書き方は既存のattribute-filter.xmlと、学認申請システムが提供するattribute-filterの両方を読むことを想定した内容となっています。
- 学認申請システムが提供するattribute-filterには利便性のため全SPに対する transientId の送信設定が入っています。通常これで問題ないはずですが、特定のSPに対して transientId を送信しないためには既存のattribute-filter.xmlに DenyValueRule を記述してください。
- 下記の設定を行うことで既存のattribute-filter.xmlも定期的に再読み込みされるようになります(設定例では60分おき)。更新途中のattribute-filter.xmlを放置するとそれを読み込んで誤動作することになりますのでご注意ください。
...
注意 |
---|
ここでの操作が影響するのはSPへ属性を送信するか否かのみです。SPによっては別途接続申し込みが必要なものがあり、これは個別に行っていただく必要があります。 |
- IdP運用担当者の方が学認申請システムにログインし、承認済みIdPの詳細画面を表示してください。
ページ最下部に「利用可能なSPを選択する」リンクがありますのでクリックしてください。
. SP選択画面が表示されます。
まず、「特に指定しない(全てのSPで表示されます)」にチェックが入っていないことを確認してください。注意 ページ先頭にある説明書きと注意書きは、別の機能についてのものですので、無視してください。
注意 このページでチェックを入れたSPに属性が送信されるようになりますので、慎重に行ってください。 .
- 最後にページ最下部の「登録」ボタンをクリックしてください。
. - 上述の直接読み込むIdP設定の通りに行っていれば、最大でも1時間後には選択したSPに属性を送信するようになります。
...
コード ブロック | ||
---|---|---|
| ||
<!-- Additional Deny Policy for <SP名> --> <afp:AttributeFilterPolicy id="DenyPolicyfor<SP名>" xmlns:afp="urn:mace:shibboleth:2.0:afp"> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="<SPのentityID>" /> <afp:AttributeRule attributeID="<属性名>"> <afp:DenyValueRule xsi:type="basic:ANY" /> </afp:AttributeRule> </afp:AttributeFilterPolicy> |
また、本機能で自動化されるのはフィルタ設定部分のみですので、SPに適切に属性を送信するためには、別途attribute-resolver.xmlで適切な属性値を生成する必要がある場合があります。(例えば、電子ジャーナルサービスでのeduPersonEntitlement属性の common-lib-terms)
本機能を使用していて一部のSPにつながらない場合は上記設定をご確認ください。
...
- 1時間に1回ダウンロードを試み、999回(約41日)連続して取得に失敗した場合は以降取得を試みなくなります。
もちろん、取得に失敗しても前回成功したファイルが使用されますので直ちに使えなくなることはありませんが、新規に設定した属性送信が反映されません。
...
以上