gakuninrdm_users

スペース ショートカット

このサイトは https://support.rdm.nii.ac.jp/ へ移転しました。

ページ ツリー

比較バージョン

古いバージョン 5

changes.mady.by.user sueda@nii.ac.jp

保存しました

次と比較

新しいバージョン 6

changes.mady.by.user sueda@nii.ac.jp

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

IdPは学認技術ガイド(https://www.gakunin.jp/technical/)に記載の手順で構築されていることを想定しています。固有の方法でインストールされている場合はファイルのパス等を適宜読み替えてください。に記載の手順で構築されていることを想定しています。固有の方法でインストールされている場合はファイルのパス等を適宜読み替えてください。

設定に必要な情報のまとめ

GRDMのshibboleth SPのentityID

GRDMのSPに対してIdPから送出していただく属性値 GRDMのSPに対してIdPから送出していただく属性値

  • eduPersonPrincpalName(ePPN)
    • (必須)ユーザーの識別子として利用します。
  • eduPersonEntitlement
    • 任意 
    • (任意)管理画面を利用する際には必須
    • 管理機能の設定で「GakuNin RDMAdmin」をeduPersonEntitlement属性に記述してください。

以下の属性値は今後のGRDMの機能拡張において参照する可能性があります。

  • displayName
    • (任意)
  • mail
    •  
    • (任意)
  • organizationName
    •  
    • (任意)
  • organizationalUnitName
    • (任意)

★上記について確認し、設定に問題なければご連絡ください★上記について確認し、設定に問題なければご連絡ください。

弊所側で必要な設定を行ない、疎通が可能になり次第ご連絡を差し上げます。

GRDMのサービスを利用する際のIdPへの設定内容

...

自動更新が有効になっていない場合はローカルのキャッシュファイルの確認が必要です。

ローカルのキャッシュファイルは通常

/opt/shibboleth-idp/metadata/gakuni-metadata.xml

として保存されています。

このファイルの中にhttps://accounts.rdm.nii.ac.jp/shibboleth-sp の文字列が含まれているかを確認してください。

...

GRDMのサービスを利用するためにはhttps://accounts.rdm.nii.ac.jp/shibboleth-sp のentityIDに対してeduPersonPrincipalName (ePPN)が送出されている必要があります。

/opt/shibboleth-idp/conf/attribute-resolver.xml の設定

ePPNの定義が有効であることを確認してください。ePPNの定義が有効であることを確認してください。

‘id=”eduPersonPrincipalName”’の文字列を検索します。

学認技術ガイドの手順どおりの構築であれば以下のような記述が見付かるはずです。

コード ブロック
<!-- Attribute Definition for eduPersonPrincipalName -->

...


<!-- -->

...


<resolver:AttributeDefinition xsi:type="ad:Scoped" id="eduPersonPrincipalName" scope="%{idp.scope}" sourceAttributeID="uid">

...


    <resolver:Dependency ref="myLDAP" />

...


    <resolver:AttributeEncoder xsi:type="enc:SAML1ScopedString" name="urn:mace:dir:attribute-def:eduPersonPrincipalName" encodeType="false" />

...


    <resolver:AttributeEncoder xsi:type="enc:SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" friendlyName="eduPersonPrincipalName" encodeType="false" />

...


</resolver:AttributeDefinition>

...


<!-- -->

resolver:AttributeDefinitionのタグがコメント解除されていれば問題ありません。

(参考) 学認技術ガイド「attribute-resolver.xml ファイルの変更(IdPv3)」https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20021642


/opt/shibboleth-idp/conf/attribute-filter.

...

xmlの設定

ファイル末尾の</AttributeFilterPolicyGroup>タグの直前に以下の内容を追加してください。

コード ブロック
<AttributeFilterPolicy id="PolicyforGakuNinRDM">

...


    <PolicyRequirementRule xsi:type="Requester" value="https://accounts.rdm.nii.ac.jp/shibboleth-sp" />

...


    <AttributeRule attributeID="eduPersonPrincipalName">

...


        <PermitValueRule xsi:type="ANY" />

...


    </AttributeRule>

...


</AttributeFilterPolicy>

設定を反映するためにIdPのサービスを再起動してください。 設定を反映するためにIdPのサービスを再起動してください。

弊所での処理が完了しましたら、GRDMトップページhttps://rdm.nii.ac.jp/ 画面右肩のEmbedded DSのプルダウンメニューに機関名が表示されるようになります。

こちらからログインが可能であるかの確認をいただけるようお願いします。こちらからログインが可能であるかの確認をいただけるようお願いします。 

管理画面のサービスを利用する際のIdPへの設定内容

...

自動更新が有効になっていない場合はローカルのキャッシュファイルの確認が必要です。

ローカルのキャッシュファイルは通常

/opt/shibboleth-idp/metadata/gakuni-metadata.xml

として保存されています。

このファイルの中にhttps://accounts.rdm.nii.ac.jp/shibboleth-sp の文字列が含まれているかを確認してください。

...

管理画面のサービスを利用するためにはhttps://admin.rdm.nii.ac.jp/shibboleth-sp のentityIDに対してeduPersonPrincipalName (ePPN)とeduPersonEntitlementが送出されている必要があります。

管理画面にアクセスが可能なユーザーのeduPersonEntitlement属性 はその値の中にGakuNin 管理画面にアクセスが可能なユーザーのeduPersonEntitlement属性はその値の中にGakuNin RDMAdminの文字列を含む必要があります。

管理画面にアクセスを許可するユーザーにのみこの値が付与されるようにしてください。

...

eduPersonEntitlementの算出に別の方法を用いられる場合はattribute-resolver.xmlの設定を適切に変更してください。


/opt/shibboleth-idp/conf/attribute-resolver.xml の設定

ePPNが有効であることを確認してください。ePPNが有効であることを確認してください。

‘id=”eduPersonPrincipalName”’の文字列を検索します。

学認技術ガイドの手順どおりの構築であれば以下のような記述が見付かるはずです。

コード ブロック
<!-- Attribute Definition for eduPersonPrincipalName -->

...


<!-- -->

...


<resolver:AttributeDefinition xsi:type="ad:Scoped" id="eduPersonPrincipalName" scope="%{idp.scope}" sourceAttributeID="uid">

...


    <resolver:Dependency ref="myLDAP" />

...


    <resolver:AttributeEncoder xsi:type="enc:SAML1ScopedString" name="urn:mace:dir:attribute-def:eduPersonPrincipalName" encodeType="false" />

...


    <resolver:AttributeEncoder xsi:type="enc:SAML2ScopedString" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" friendlyName="eduPersonPrincipalName" encodeType="false" />

...


</resolver:AttributeDefinition>

...


<!-- -->

resolver:AttributeDefinitionのタグがコメント解除されていれば問題ありません。

...

学認技術ガイドの手順どおりの構築であれば以下のような記述が見付かるはずです。

コード ブロック
<!-- Attribute Definition for eduPersonEntitlement -->

...


<!--

...


<AttributeDefinition xsi:type="Simple" id="eduPersonEntitlement" sourceAttributeID="eduPersonEntitlement">

...


    <Dependency ref="staticEntitlementCommonLibTerms" />

...


    <AttributeEncoder xsi:type="SAML1String" name="urn:mace:dir:attribute-def:eduPersonEntitlement" encodeType="false" />

...


    <AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" encodeType="false" />

...


</AttributeDefinition>

...


-->

AttributeDefinitionのタグがコメントアウトされている事を確認してください。

...

上記の引用箇所の直後に以下の内容を追記してください。

コード ブロック
<resolver:AttributeDefinition xsi:type="ad:Simple" id="eduPersonEntitlement" sourceAttributeID="eduPersonEntitlement">

...


    <resolver:Dependency ref="myLDAP" />

...


    <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:eduPersonEntitlement" encodeType="false" />

...


    <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" encodeType="false" />

...


</resolver:AttributeDefinition>

 (参考) 学認技術ガイド「attribute-resolver.xml ファイルの変更(IdPv3)」https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20021642


/opt/shibboleth-idp/conf/attribute-filter.

...

xmlの設定

ファイル末尾の</AttributeFilterPolicyGroup>タグの直前に以下の内容を追加してください。

コード ブロック
<AttributeFilterPolicy id="PolicyforGakuNinRDMAdmin">

...


    <PolicyRequirementRule xsi:type="Requester" value="https://admin.rdm.nii.ac.jp/shibboleth-sp" />

...


 
    <AttributeRule attributeID="eduPersonPrincipalName">

...


        <PermitValueRule xsi:type="ANY" />

...


    </AttributeRule>

...


    <AttributeRule attributeID="eduPersonEntitlement">

...


        <PermitValueRule xsi:type="ANY" />

...


    </AttributeRule>

...


</AttributeFilterPolicy>

設定を反映するためにIdPのサービスを再起動してください。 設定を反映するためにIdPのサービスを再起動してください。


★再起動が完了しましたらご連絡ください★再起動が完了しましたらご連絡ください。

弊所での処理が完了しましたら、GRDM管理画面ページhttps://admin.rdm.nii.ac.jp 画面中央のembeddedDSのプルダウンメニューに機関名が表示されるようになります。

こちらからログインが可能であるかの確認をいただけるようお願いします。ログインが確認できましたらその旨をメールにてお知らせください。