...
- SPは、DSを経由せず、特定のIdPのみ信頼する
- IdPは、特定のSPのみ信頼する
...
shibboleth2.xmlの設定
IdPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってIdPメタデータを取得してください。
情報 |
---|
もしIdPが学認の運用フェデレーションに参加している場合は、代わりに学認メタデータからIdPメタデータを自動抽出して利用することもできます。詳しくは以下をご参照ください。 ⇒GakuNinShare:設定・運用・カスタマイズ#メタデータ中の特定のIdPのみ利用を許可する方法 この設定を行った場合、DSの参照設定無効化から続きを実行してください。 |
...
- テストフェデレーションに登録済みのIdPを利用する場合、学認申請システム(テストfed)にログインして該当IdPの詳細画面で「以下の内容のエンティティメタデータを取得」ボタンでメタデータを取得します。
...
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略) <!-- Example of locally maintained metadata. -->
<!-- コメントアウト解除 --> <MetadataProvider type="XML" validate="true" path="メタデータファイル名"/> <!-- コメントアウト解除 -->
<!-- Allows overriding of error template information/filenames. You can also add attributes with values that can be plugged into the templates. --> <Errors supportContact="root@localhost" helpLocation="/about.html" styleSheet="/shibboleth-sp/main.css"/>
<!-- Example of remotely supplied batch of signed metadata. --> <!-- コメントアウト <MetadataProvider type="XML" validate="true" uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/> <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/> </MetadataProvider> コメントアウト --> <!-- Example of locally maintained metadata. --> <!-- コメントアウト解除 --> <MetadataProvider type="XML" file="メタデータファイル名"/> <!-- コメントアウト解除 -->
(省略)
|
- 認証要求先のIdPを設定し、DSの参照設定を無効にします。
...
展開 |
---|
|
パネル |
---|
service httpd restart service shibd restart |
|
※DSを経由する設定にshibboleth2.xmlを戻したい場合は、こちらを参照してください。
metadata-providers.xmlの設定
...
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略)
The EntityRoleWhiteList saves memory by only loading metadata from entity types
that you will interoperate with.
-->
<!-- ← 学認メタデータの自動ダウンロードを使用しないのでコメントアウト
<MetadataProvider id="HTTPMetadata"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="%{idp.home}/metadata/gakunin-metadata-backing.xml"
metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml">
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
<MetadataFilter <MetadataFilter xsi:type="SignatureValidation"
requireSignedMetadata="true"
certificateFile="certificateFile="%{idp.home}/credentials/gakunin-signer-2010.cer" />
--> ← 学認メタデータの自動ダウンロードを使用しないのでコメントアウト
<!--
<PublicKey>
THIS IS AN EXAMPLE
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxg0TyQAP/tIvOH89EtaX
uRRn8SYzTj7W1TbNY4VvBmobjkRmSkki4hH9x4sQpi635wn6WtXTN/FNNmkTK3N/
LspmBWxfZS+n+cc7I82E5yvCAPX67QsZgqgglp2W5dvK/FsMMCS6X6SVqzBLMP88
NenXKxY+HMxMs0sT0UKYh1cAEqadrHRBO65aDBcm5a0sBVYt9K6pgaOHrp/zSIbh
nR5tFFLjBbtFktDpHL3AdGBH3OYidNGKBO3tJ3Ms7LeKXsM0+0Y4P+9fHZINL2X3
E2N6GVnKs5PZTg9sP0FtIpAbYm/+zCx7Yj1ET/Er8mDd6tNVGSQsn9s5xUBwGqn1
4wIDAQAB
</PublicKey>
</MetadataFilter>
-->
<!-- ← 学認メタデータの自動ダウンロードを使用しないのでコメントアウト
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P15D" />
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider> --> ← 学認メタデータの自動ダウンロードを使用しないのでコメントアウト ↓以下を追加 <MetadataProvider id="SP名MD" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/メタデータファイル名"/>
(省略)
|
...
情報 |
---|
学認参加IdPが個別の学内SPとも連携したい場合など、フェデレーションのメタデータ設定をコメントアウトせずにSPメタデータ設定を追加すれば、どちらのSPとも連携できます。 |
設定変更後、tomcatを再起動します。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
systemctl restart tomcat |
...
※フェデレーションのメタデータの参照設定を行った設定にmetadata-providers.xmlを戻す場合は、こちらを参照してください。
利用するSPにアクセスし、DSを経由せず、設定したIdPに直接アクセスすること、およびIdPで認証してSPに接続できることを確認してください。