GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 31

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 32

changes.mady.by.user Yoshiaki Kawano

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

1. はじめに

本メニューでは、IdPをカスタマイズします。
uApproveJP-3をインストールして実現します。4をインストールして実現します。
送信属性の設定をオプショナルとしたり、また必須属性と設定するなど組み込み機能と比べ
柔軟な設定が可能となっています。 


...

2. 実習セミナーでは

一般的な手順は「3. 手順書」に記載されています。ただし、本実習セミナー特有の設定内容等を以下に記載しています。
両方を参照しつつ作業を進めてください。

・前提条件

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

実習セミナーでは、リレーショナルデータベースを用いたものとします。
事前準備として、以下のようにCentOS 7の標準であるMariaDBをインストールし、
起動させておいてください。

# yum install mariadb-server
# systemctl start mariadb

なお、実習では不要ですが実運用の場合は以下を実行してください。
(OS起動時の自動起動および、rootアカウントにパスワードを設定します)

# systemctl enable mariadb
# mysql_secure_installation

なお、手順書中mysqlコマンドはMariaDBのものが使われ、プロンプトが mysql> ではなく mariadb> になりますが問題ありません。

・インストール

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

uApproveJPのパッケージは、「3.手順書」に記載されていますが、以下の例のように実習セミナー用の
DSサーバからダウンロードします。(wgetコマンドでバイナリファイルのパッケージを取得)

例)
 # wget https://ex-ds.gakunin.nii.ac.jp/uApproveJP-34.20.0-bin.zip

手順書の記載に合わせて「/usr/local/src」配下に展開しておきます。
# unzip -d /usr/local/src uApproveJP-34.20.0-bin.zip
以降、手順書中の $UAPPROVE_INSTALL$ の部分は /usr/local/src/uApproveJP-34.20.0/ と読み替えてください。

・CentOS 7環境に合わせたMySQLDataSourceの設定

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

手順書内にある「2.1.5. shibboleth.JPAStorageServiceの設定」の設定内容が一部CentOS 7対応で
変更する必要があります。手順書に沿って変更した後に、以下の部分のみ再度変更してください。

/opt/shibboleth-idp/conf/global.xmlを編集します。

<bean id="shibboleth.MySQLDataSource"
      class="org.apache.commons.dbcp.BasicDataSource"
      p:driverClassName="com.mysql.jdbc.Driver"
      p:url="jdbc:mysql://localhost:3306/shibboleth"
      p:username="shibboleth"
      p:password="shibpassword"
      p:maxActive="10"
      p:maxIdle="5"
      p:maxWait="15000"
      p:testOnBorrow="true"
      p:validationQuery="select 1"
      p:validationQueryTimeout="5" />

・ローカライズ(日本語環境用メッセージファイル)

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

手順書内にある「2.3 ローカライズ」の日本語環境用のメッセージファイルテンプレートは以下のURLの
ページにリンクがあるので、そこからダウンロードしてください。

※実習セミナーではIdP3.2.1を使っていますので、IdP3.2用の3ファイルをダウンロードします。

例)IdP3.2の場合
# cd /opt/shibboleth-idp/messages/

# wget https://wiki.shibboleth.net/confluence/download/attachments/21660022/authn-messages_ja.properties
 # wget https://wiki.shibboleth.net/confluence/download/attachments/21660022/consent-messages_ja.properties
 # wget https://wiki.shibboleth.net/confluence/download/attachments/21660022/error-messages_ja.properties

・AttributeInMetadataマッチングルール

/opt/shibboleth-idp/conf/attribute-filter.xmlを設定します。

...

パネル
bgColor#eeeeee

実習セミナーでは、「surname、givenName、mail、eduPersonAffiliation」をオプショナル属性とします。
以下のように4つの属性を全て変更してください。
例)surname属性の設定
<AttributeRule attributeID="surname">
    <PermitValueRule xsi:type="uajpmf:AttributeInMetadata"
                               matchIfMetadataSilent="true"
                               onlyIfRequired="false"
                               onlyIfChecked="true" />
</AttributeRule>

・Tomcatの再起動

Tomcatを再起動して、更新した設定ファイルを読み込ませます。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

# systemctl restart tomcat


...

3. 手順書

下記の設定手順書を参照し、作業を行います。
セミナー環境ではShibboleth IdP 3.2.1がインストールされておりますので、最新版ではなくuApproveJPバージョン31がインストールされておりますが、流れとしては4.20.0をお使いください。ただし自分で3xにアップデートしてから最新版のuApproveJPバージョン4.40.xにアップデートした場合はuApproveJPも最新版をお使いください。0をお使いください。
※リンク先のページを開くと、それぞれのバージョンの「インストールおよび設定方法」と記載されたリンクがあるので、
 そのリンクをクリックしてください。
※「1 基本的なデプロイ」から「2.3 ローカライズ」内の「カスタムメッセージ」まで行います。ただし「1.5 カスタムテンプレート」および「2.2 テンプレート」は、読み飛ばしてください。
※「2.4 AttributeInMetadataマッチングルール」については、上記実習セミナーの設定を行います。
※手順書内に記載されているtomcat再起動のコマンドは、CentOS 7のものに置き換えてください。
 (「2.実習セミナーでは」の「tomcat再起動」を参照)

...

PermitValueRuleに与える設定と属性選択画面の表示の組み合わせを表にすると、以下のようになります。






SPメタデータ 

<md:AttributeConsumingService>
なし

<md:AttributeConsumingService>
あり

<md:RequestedAttribute>
なし

<md:RequestedAttribute>
あり

isRequired="false"
もしくは指定なし		isRequired="true"

IdP

設定

(attribute-filter)

<PermitValueRule
xsi:type="uajpmf:AttributeInMetadata"
onlyIfChecked="true">

onlyIfRequired="false"
matchIfMetadataSilent="false"

表示しない表示しないオプショナル属性必須属性

onlyIfRequired="false"
matchIfMetadataSilent="true"

オプショナル属性表示しないオプショナル属性必須属性

onlyIfRequired="true"
matchIfMetadataSilent="true"

オプショナル属性表示しない表示しない必須属性

onlyIfRequired="true"
matchIfMetadataSilent="false"

表示しない表示しない表示しない必須属性

<PermitValueRule
xsi:type="uajpmf:AttributeInMetadata"
onlyIfChecked="true"> 以外

必須属性必須属性必須属性必須属性

なお、「表示しない」については属性送信もされません。



...

4. 動作確認

① 設定後、Tomcatの再起動を行ってない場合は行なってください。

...