学認では属性設定とメタデータのテンプレートを提供しています。下記をクリックして必要なテンプレートをダウンロードしてご利用ください。ご利用方法は、上記のIdP,SP構築方法をご参照ください。メタデータに関しましては、学認申請システムにて自動生成されますので、本テンプレートは補助的な目的でご利用ください。
- 属性設定テンプレート(IdP用)
利用方法はIdP設定の attribute-resolver.xml / attribute-filter.xml をご参照ください。- attribute-resolver.xml(共通)
- attribute-filter.xml(運用フェデレーション用)
- attribute-filter.xml(テストフェデレーション用)
- gakunin-rules.tar.gz(共通)
- /opt/shibboleth-idp/conf/ 以下で展開する(/opt/shibboleth-idp/conf/attributes/custom/以下に*.propertiesが配置される)ものです。
- Shibboleth IdPバージョン4(V4)およびそれ以降用の新規のファイル群です。Attribute Registryに学認で規定されている(かつ配布物に含まれない)属性を追加します。
- 本ファイルはV4用のattribute-resolver.xmlと組み合わせて使うものです。典型的にはV4の新規インストール時に使用します。V3からのアップグレードの場合、V3もしくはそれ以前用のattribute-resolver.xmlテンプレートを使っている場合に限り本ファイルは不要ですが、将来的にV4テンプレートに更新するのに備えてV4環境にはインストールしておくことを推奨します。
※ 現在提供している学認テンプレート(V4)はShibboleth IdPバージョン5でも問題なく使用できます。
更新情報2023年8月24日(4.2.0)
Shibboleth IdP 4.2.x 向けに attribute-resolver.xml のテンプレートを公開しました。
更新情報2021年10月22日(4.1.0)
Shibboleth IdP 4.1.x向けにattribute-resolver.xmlのテンプレートを公開しました。V4の新機能のSAML Proxyを使うような場合は最新版をお使いになることを推奨します。更新情報2021年7月19日(4.0.1)
LDAP DataConnectorにて
exportAttributes=""
(空文字列)という形でテンプレートを公開しておりました(コメントに記述しておりますようにLDAPから直接送出したい属性を列挙するものです)が、未修正のまま実行すると以下のような意味不明なエラーになってしまうため、ダミーの属性名を入れております。ご利用の際はダミーを取り除いて正しい属性名で置き換えて(もしくは不要な場合はexportAttributes="..."
の部分自体を削除して)ください。net.shibboleth.utilities.java.support.service.ServiceException: org.springframework.beans.factory.xml.XmlBeanDefinitionStoreException: Line NNN in XML document from file [/opt/shibboleth-idp/conf/attribute-resolver.xml] is invalid; nested exception is org.xml.sax.SAXParseException; lineNumber: NNN; columnNumber: NN; cvc-minLength-valid: 長さが'0'である値''は、タイプ'string'のminLength '1'に対してファセットが有効ではありません。
更新情報2020年8月11日(4.0.0)
以前のテンプレートからの更新で、かつプロパティ
idp.pool.LDAP.failFastInitialize
をtrueにして使ってる場合はテンプレートを最新版に切り替えたタイミングで起動時LDAPに接続できなかった場合の挙動が変わる可能性があります(当該プロパティを参照しなくなったため)。IdP起動時にLDAPに接続できなければエラーにする(デフォルトの挙動ではありません)場合はLDAP ConnectorにfailFastInitialize="true"
を追加してください。Shibboleth IdP 4で利用するためのテンプレートです。
以下の通りV4の新機能と整合性を取るため属性名の見直しを行いましたので、他の設定とマージを行う場合はご注意ください。なお、新属性名は学認技術運用基準で規定される属性の「friendlyName」に記載されているものです。旧属性名は同規程の「名称」に記載されているものでした。
3.4.0まで 4.0.0以降 organizationName o organizationalUnitName ou surname sn jaOrganizationName jao jaOrganizationalUnitName jaou jaSurname jasn また今回のLDAP Connectorから、V4の新機能であるAttribute Registryを使ってLDAP DataConnectorのexportAttributesに指定することでLDAPの値を直接送出するようになっています。単純なSimple AttributeDefinitionが削減可能です。詳細はファイル中のコメントを参照してください。
またeduPersonTargetedIDの設定について、以前のテンプレートではソース属性の存在(AttributeDefinitionを定義しているかどうか)によってコメントアウトを解除するかどうかで切り替えていたものが、今回の版からソース属性のタイプによってInputAttributeDefinitionにするかInputDataConnectorにするかを切り替える形に変更になっています。詳細は該当部分のコメントを参照してください。
- 属性設定テンプレート(SP用)
- attribute-map.xml
このファイルについて詳しくは、SPカスタマイズの属性の追加方法をご覧ください。
⇒属性の追加方法 - attribute-policy.xml
gakuninScopedPersonalUniqueCodeのScopingRulesを追加しています。その他、IdPから渡された属性をフィルタしてアプリケーションに渡す場合には適宜設定を追加してください。
更新情報2023年8月24日(3.4.0)
Shibboleth SP 3.4.x 向けテンプレート - 3.4.1 の配布物をベースとして再作成しました。(フラット化されております)
更新情報2019年7月18日(3.3.0)
Shibboleth SP 3.0.x向けテンプレート - 3.0の配布物をベースとして再作成しました。
特にattribute-map-template.xmlについては、targeted-idの削除、unscoped-affiliationのコメントアウト、eppnへの caseSensitive="false" の指定の追加などが行われております。
unscoped-affiliation(eduPersonAffiliation)のコメントアウトはShibboleth開発元の使うべきでないという意向に合わせたものです。引き続きこれを使う必要がある場合は有効化してお使いください。関連課題更新情報2018年8月23日(3.2.2)
学認技術運用基準(v2.2)に新たに追加された属性 eduPersonAssurance, eduPersonUniqueId, eduPersonOrcid を追加しました。
一部のja属性に欠けていたcaseSensitive設定を付与しました。Apacheのrequire構文等で大文字小文字が区別されなくなります。
- attribute-map.xml
- メタデータテンプレート
配布している属性設定テンプレートのファイル名と最新バージョンの対応は以下の通りです。Shibboleth IdP/SPのバージョンとは対応しておりませんのでご注意ください。
ファイル名 | 最新バージョン | ベースとなるShibboleth IdP/SPバージョン |
---|---|---|
attribute-resolver-template.xml | 4.2.0 | 4.2.1 |
attribute-filter-template-prodfed.xml | 4.0.0 | 4.0.1 |
attribute-filter-template-testfed.xml | 4.0.0 | 4.0.1 |
gakunin-rules.tar.gz | 4.0.0 | 4.0.1 |
attribute-map-template.xml | 3.3.0 | 3.0.4 |
attribute-policy-template.xml | 3.4.0 | 3.4.1 |