gakuninrdm_users

スペース ショートカット

このサイトは https://support.rdm.nii.ac.jp/ へ移転しました。

ページ ツリー

比較バージョン

古いバージョン 6

changes.mady.by.user sueda@nii.ac.jp

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user sueda@nii.ac.jp

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

利用申請機関が管理するShibboleth IdP(以下IdP)を利用してGakuNin RDM(以下GRDM)にログインをおこなう際に必要な設定について記述しています。
IdPは学認技術ガイド(https://www.gakunin.jp/technical/)に記載の手順で構築されていることを想定しています。固有の方法でインストールされている場合はファイルのパス等を適宜読み替えてください。

...

  • eduPersonPrincpalName(ePPN)
    • (必須)ユーザーの識別子として利用します。
  • eduPersonEntitlement
    • (任意)管理画面を利用する際には必須
    • 管理機能の設定で「GakuNin RDMAdmin」をeduPersonEntitlement属性に記述してください。管理機能の設定で「GakuNinRDMAdmin」をeduPersonEntitlement属性に記述してください。

以下の属性値は今後のGRDMの機能拡張において参照する可能性があります。

...

2019/02/22 現在公開されている学認運用フェデレーションのメタデータはGRDMのメタデータを含んでいます。
学認技術ガイドのIdPカスタマイズ設定に従いメタデータの自動更新が有効になるよう設定されている場合は特別な設定は必要ありません。
自動更新が有効になっていない場合はローカルのキャッシュファイルの確認が必要です。

ローカルのキャッシュファイルは通常
/opt/shibboleth-idp/metadata/gakuni-metadata.xml
として保存されています。

このファイルの中にhttps://accounts.rdm.nii.ac.jp/shibboleth-sp の文字列が含まれているかを確認してください。
含まれていれば問題ありません。無い場合はファイルの更新が必要です。

https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml
最新の学認運用フェデレーションのメタデータは上記URLから取得可能です。

...

‘id=”eduPersonPrincipalName”’の文字列を検索します。
学認技術ガイドの手順どおりの構築であれば以下のような記述が見付かるはずです。

...

resolver:AttributeDefinitionのタグがコメント解除されていれば問題ありません。
(参考) 学認技術ガイド「attribute-resolver.xml ファイルの変更(IdPv3)」https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20021642


/opt/shibboleth-idp/conf/attribute-filter.xmlの設定

...

コード ブロック
<AttributeFilterPolicy id="PolicyforGakuNinRDM">
    <PolicyRequirementRule xsi:type="Requester" value="https://accounts.rdm.nii.ac.jp/shibboleth-sp" />
    <AttributeRule attributeID="eduPersonPrincipalName">
        <PermitValueRule xsi:type="ANY" />
    </AttributeRule>
</AttributeFilterPolicy>

設定を反映するためにIdPのサービスを再起動してください。 設定を反映するためにIdPのサービスを再起動してください。
弊所での処理が完了しましたら、GRDMトップページhttps://rdm.nii.ac.jp/ 画面右肩のEmbedded DSのプルダウンメニューに機関名が表示されるようになります。
こちらからログインが可能であるかの確認をいただけるようお願いします。 

...

GRDMでは利用機関のネットワーク管理者が、機関のユーザーに対して利用可能なGRDMの機能に対し一部制限をおこなう、また利用統計情報を参照する等の機能を利用するための管理画面を用意しています。
こちらを利用になるためには通常のサービスとは別に設定をいただく必要があります。

...

2019/02/22 現在公開されている学認運用フェデレーションのメタデータはGRDMのメタデータを含んでいます。
学認技術ガイドのIdPカスタマイズ設定に従いメタデータの自動更新が有効になるよう設定されている場合は特別な設定は必要ありません。
自動更新が有効になっていない場合はローカルのキャッシュファイルの確認が必要です。

ローカルのキャッシュファイルは通常
/opt/shibboleth-idp/metadata/gakuni-metadata.xml
として保存されています。

このファイルの中にhttps://accounts.rdm.nii.ac.jp/shibboleth-sp の文字列が含まれているかを確認してください。
含まれていれば問題ありません。無い場合はファイルの更新が必要です。

https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml
から取得できる最新の学認運用フェデレーションのメタデータを利用してください。

...

管理画面のサービスを利用するためにはhttps://admin.rdm.nii.ac.jp/shibboleth-sp のentityIDに対してeduPersonPrincipalName (ePPN)とeduPersonEntitlementが送出されている必要があります。
管理画面にアクセスが可能なユーザーのeduPersonEntitlement属性はその値の中にGakuNin RDMAdminGakuNinRDMAdminの文字列を含む必要があります。
管理画面にアクセスを許可するユーザーにのみこの値が付与されるようにしてください。

以下の例ではユーザー情報を収めたLDAP上の当該ユーザーのレコードがeduPersonEntitlement属性を持っており、管理画面にアクセス可能なユーザーに対してはGakuNinRDMAdminの値が設定されていることを期待しています。
eduPersonEntitlement属性はedupersonスキーマに含まれます。学認技術ガイドでは導入は選択となっておりますのでご注意ください。

(参考) https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20021639
eduPersonEntitlementの算出に別の方法を用いられる場合はattribute-resolver.xmlの設定を適切に変更してください。

...

‘id="eduPersonEntitlement"’の文字列を検索します。
学認技術ガイドの手順どおりの構築であれば以下のような記述が見付かるはずです。

...

コメントアウトされていない場合は現在別のサービスに対するeduPersonEntitlement属性の送出設定がされている可能性があります。この手順書の範疇を超えると思われますので別途ご相談ください。
上記の引用箇所の直後に以下の内容を追記してください。

...