...
メタデータ中の特定のIdPのみ利用を許可する方法
SP3対応
フェデレーションメタデータのように複数のIdPが格納されているメタデータから、特定のIdPのみと連携し、他のIdPからの利用を拒否する必要がある場合には、Whitelist Include MetadataFilter が利用できます。例えば、運用フェデレーションに参加しているIdPと学内に構築したローカルSPで連携(技術ガイド > SP > SPセッティング > 学内システムとして構築する場合の設定)するときに以下のように記述できます。こうすることで、ローカルSP上にIdPメタデータを配置する必要がなく、IdPメタデータ更新時にローカルSP側の更新作業を省略できるという利点があります。
...
| パネル |
|---|
<MetadataProvider type="XML" uri" validate="true"
url="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml"
backingFilePath="federation-metadata.xml" reloadIntervalmaxRefreshDelay="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
<MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-20102017.cer" verifyBackup="false"/>
<MetadataFilter type="WhitelistInclude">
<Include>(...IdPのentityID...)</Include>
→ Includeの行を増やすことで、連携するIdPを増やすことができます
</MetadataFilter>
...
</MetadataProvider>
|
SPの証明書更新の方法
...
