...
- SPは、DSを経由せず、特定のIdPのみ信頼する
- IdPは、特定のSPのみ信頼する
...
shibboleth2.xmlの設定
IdPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってIdPメタデータを取得してください。
| 情報 |
|---|
もしIdPが学認の運用フェデレーションに参加している場合は、代わりに学認メタデータからIdPメタデータを自動抽出して利用することもできます。詳しくは以下をご参照ください。
⇒GakuNinShare:設定・運用・カスタマイズ#メタデータ中の特定のIdPのみ利用を許可する方法 この設定を行った場合、DSの参照設定無効化から続きを実行してください。 |
...
- テストフェデレーションに登録済みのIdPを利用する場合、学認申請システム(テストfed)にログインして該当IdPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。
...
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
(省略)
<!-- Example of locally maintained metadata. -->
<!-- コメントアウト解除 -->
<MetadataProvider type="XML" validate="true" path="メタデータファイル名"/>
<!-- コメントアウト解除 -->
<!--
Allows overriding of error template information/filenames. You can
also add attributes with values that can be plugged into the templates.
-->
<Errors supportContact="root@localhost"
helpLocation="/about.html"
styleSheet="/shibboleth-sp/main.css"/>
<!-- Example of remotely supplied batch of signed metadata. -->
<!-- コメントアウト
<MetadataProvider type="XML" validate="true"
uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
backingFilePath="federation-metadata.xml" reloadInterval="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
<MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/>
</MetadataProvider>
コメントアウト -->
<!-- Example of locally maintained metadata. -->
<!-- コメントアウト解除 -->
<MetadataProvider type="XML" file="メタデータファイル名"/>
<!-- コメントアウト解除 -->
(省略)
|
- 認証要求先のIdPを設定し、DSの参照設定を無効にします。
...
| 展開 |
|---|
|
| パネル |
|---|
service httpd restart
service shibd restart |
|
※DSを経由する設定にshibboleth2.xmlを戻したい場合は、こちらを参照してください。
metadata-providers.xmlの設定
...
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
(省略)
The EntityRoleWhiteList saves memory by only loading metadata from entity types
that you will interoperate with.
-->
<!-- ← 学認メタデータの自動ダウンロードを使用しないのでコメントアウト
<MetadataProvider id="HTTPMetadata"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/gakunin-metadata-backing.xml"
metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml">
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
<MetadataFilter <MetadataFilter xsi:type="SignatureValidation"
requireSignedMetadata="true"
certificateFile="certificateFile="%{idp.home}/credentials/gakunin-signer-2010.cer" />
--> ← 学認メタデータの自動ダウンロードを使用しないのでコメントアウト
<!--
<PublicKey>
THIS IS AN EXAMPLE
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxg0TyQAP/tIvOH89EtaX
uRRn8SYzTj7W1TbNY4VvBmobjkRmSkki4hH9x4sQpi635wn6WtXTN/FNNmkTK3N/
LspmBWxfZS+n+cc7I82E5yvCAPX67QsZgqgglp2W5dvK/FsMMCS6X6SVqzBLMP88
NenXKxY+HMxMs0sT0UKYh1cAEqadrHRBO65aDBcm5a0sBVYt9K6pgaOHrp/zSIbh
nR5tFFLjBbtFktDpHL3AdGBH3OYidNGKBO3tJ3Ms7LeKXsM0+0Y4P+9fHZINL2X3
E2N6GVnKs5PZTg9sP0FtIpAbYm/+zCx7Yj1ET/Er8mDd6tNVGSQsn9s5xUBwGqn1
4wIDAQAB
</PublicKey>
</MetadataFilter>
-->
<!-- ← 学認メタデータの自動ダウンロードを使用しないのでコメントアウト
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
--> ← 学認メタデータの自動ダウンロードを使用しないのでコメントアウト
↓以下を追加
<MetadataProvider id="SP名MD" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/メタデータファイル名"/>
(省略)
|
...
| 情報 |
|---|
学認参加IdPが個別の学内SPとも連携したい場合など、フェデレーションのメタデータ設定をコメントアウトせずにSPメタデータ設定を追加すれば、どちらのSPとも連携できます。 |
設定変更後、tomcatを再起動します。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
systemctl restart tomcat |
...
※フェデレーションのメタデータの参照設定を行った設定にmetadata-providers.xmlを戻す場合は、こちらを参照してください。
利用するSPにアクセスし、DSを経由せず、設定したIdPに直接アクセスすること、およびIdPで認証してSPに接続できることを確認してください。