1. はじめに
※前提として、「クライアント証明書による多要素認証の有効化」が実施済みであるとします。
本メニューでは、IdPをカスタマイズします。
ID/パスワード認証とクライアント証明書認証の認証方式を使って、SP毎に認証レベルを設定します。
2. 実習セミナーでは
以下のような設定で行います。
手順書と照らし合わせながら、作業を進めてください。
・認証フローの階層化
実習セミナーでは、ID/パスワードと証明書の2つの認証方式で確認します。
以下のように手順書にある内容を置き換えて設定します。
※「RemoteUser」は設定しません。
/opt/shibboleth-idp/conf/idp.propertiesの設定内容について
# Regular expression matching login flows to enable, e.g. IPAddress|Password
idp.authn.flows= Password|X509
(省略)
# Whether to prioritize "active" results when an SP requests more than
# one possible matching login method (V2 behavior was to favor them)
idp.authn.favorSSO = true
※アンコメントして、有効にします。
/opt/shibboleth-idp/conf/authn/general-authn.xmlの設定内容について
<bean id="authn/X509" parent="shibboleth.AuthenticationFlow"
(省略)
<bean parent="shibboleth.SAML2AuthnContextClassRef"
c:classRef="urn:mace:gakunin.jp:idprivacy:ac:classes:Level2" />
<bean parent="shibboleth.SAML2AuthnContextClassRef"
c:classRef="urn:mace:gakunin.jp:idprivacy:ac:classes:Level1" />
※Level3の設定を除いた、Level1~Level2の設定とします。
・SP毎に認証レベルを設定
デフォルトではID/パスワードの認証とし、各自作成したSPの認証については
証明書を使用した認証となるように設定します。
/opt/shibboleth-idp/conf/relying-party.xmlの設定内容について
※DefaultRelyingPartyの設定は、手順通り行ってください。
※ホスト名など赤文字部分は、各自の番号に合わせて修正してください。
<bean parent="ex-sp-test01" c:relyingPartyIds="https://ex-sp-test01.gakunin.nii.ac.jp/shibboleth-sp">
<property name="profileConfigurations">
<list>
<bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release"
p:defaultAuthenticationMethods="urn:mace:gakunin.jp:idprivacy:ac:classes:Level2"/>
<ref bean="SAML2.ECP" />
<ref bean="SAML2.Logout" />
<ref bean="SAML2.AttributeQuery" />
<ref bean="SAML2.ArtifactResolution" />
<ref bean="Liberty.SSOS" />
</list>
</property>
</bean>
3. 手順書
下記の設定手順書を参照し、作業を行います。
※実習時の設定値に置き換える事を忘れないようにしてください。
※手順書内の「認証フローの階層化」を実施し、確認します。
(説明上、「Password認証フローのExtendedフロー」は行いません。)
4. 動作確認
① 設定後、Tomcatの再起動を行ってない場合は行ってください。
systemctl restart tomcat
② 各自が使用するSPの接続確認用ページにアクセスします。
例)1番を割り振られた場合 https://ex-sp-test01.gakunin.nii.ac.jp/
③ ログインボタンをクリックします。
④ DSの設定を行っている場合、所属機関の選択画面が表示されるので、各自が使用するIdPを選択します。
⑤ 証明書認証用のログイン画面が表示されるので、Certificate Loginボタンをクリックします。
⑥ 個人証明書の要求というダイアログが表示されるので、対象となるクライアント証明書を選択して、OKボタンをクリックします。
※送信属性同意画面が表示される場合は、そのまま設定値を送信しします。
⑦ 正しく属性受信の確認ページが表示される事を確認してください。
※ID/パスワードを入力するログイン画面は表示されず、クライアント証明書で認証が行われ、
ログインする事ができます。
⑧ 次に動作確認用のSPにアクセスし、認証要求がなくシングルサインオンにてログインできることを確認します。
⑨ 一度ブラウザを閉じて、②でアクセスしたSPを動作確認用のSPに置き換えてアクセスします。
⑩ 進めていくとID/パスワードの認証要求が行われるので、入力してログインしてください。
⑪ 次に各自が作成したSPにアクセスします。今回は、認証済みですがアクセスレベルが高いため証明書認証が要求されることを確認します。
⑫ 認証後、正しく属性受信の確認ページが表示される事を確認してください。