1.はじめに
本メニューでは、IdPサーバ・SPサーバを学認申請システム(テストFed)を使用して、
実際にテストフェデレーションへ登録します。
テストフェデレーションに関して、詳しくは「テストフェデレーションルール」を参照してください。
2.実習セミナーでは
以下のような設定で行います。
手順書と照らし合わせながら、作業を進めてください。
・申請(IdP)entityID
例)1番を割り振られた場合 https://ex-idp-test01.ecloud.nii.ac.jp/idp/shibboleth
・申請(SP)entityID
例)1番を割り振られた場合 https://ex-sp-test01.ecloud.nii.ac.jp/shibboleth-sp
・ePPN項目について
事前に登録したOpenIdPのePPNを設定します。 → "各自登録したID@openidp.nii.ac.jp" の形式
・メールアドレスについて
ここで設定したメールアドレスに申請システムからの確認メールが届くので、 必ず使用可能なメールアドレスを設定してください。
・その他の項目について
各自の名前、所属機関などを設定してください。
3.手順書
以下の手順書を参照し、作業を行います。
4.動作確認
以下の動作確認手順は、IdPサーバ・SPサーバを共に申請した場合です。
・承認済みSP接続テスト
① 構築したSP側shibbleth2.xmlから、DSをテストフェデレーションに変更します。
<SessionInitiator type="Chaining" Location="/DS" isDefault="true" id="DS"> <SessionInitiator type="SAML2" template="bindingTemplate.html"/> <SessionInitiator type="Shib1"/> <!-- <SessionInitiator type="SAMLDS" URL="https://ex-ds.ecloud.nii.ac.jp/WAYF"/ > --> <SessionInitiator type="SAMLDS" URL="https://test-ds.gakunin.nii.ac.jp/WAYF" /> </SessionInitiator>
② テストフェデレーション検証用の証明書を
https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-2011.cer からダウンロードします。
cd /etc/shibboleth/cret wget https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-2011.cer
③ shibbleth2.xmlのメタデータと証明書を変更します。
<!-- <MetadataProvider type="XML" uri="https://ex-ds.ecloud.nii.ac.jp/fed/ex-fed-metadata.xml" backingFilePath="federation-metadata.xml" reloadInterval="7200"> <MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/> <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/ex-fed.crt"/> </MetadataProvider> --> <!-- test fed-->
<MetadataProvider type="XML" uri="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
backingFilePath="federation-metadata.xml" reloadInterval="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="1296000"/>
<MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-test-signer-2011.cer"/>
</MetadataProvider>
④ shibd再起動します。
service httpd restart service shibd restart
⑤ テストフェデレーションDSから接続テスト用IdPを選択します。
・各自承認済みのSPにアクセスします。
例)1番を割り振られた場合 https://ex-sp-test01.ecloud.nii.ac.jp/
・ログインボタンをクリックします。
・テストフェデレーションDSの所属している機関リストから関東カテゴリの「GakuNin テスト IdP」
(英語表示の場合はKantoカテゴ リの「GakuNin Test IdP」)を選択します。
・ログイン画面が表示され、ユーザtest001、パスワードtest001を入力して認証を行います。
・正しく属性受信の確認ページが表示されます。
(IdPエンティティIDは”https://test-idp1.gakunin.nii.ac.jp/idp/shibboleth”)
・承認済みIdP接続テスト
① テストフェデレーション検証用の証明書を
https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-2011.cer からダウンロードします。
cd /opt/shibboleth-idp/credentials wget https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-2011.cer
② relying-party.xmlのメタデータと証明書を変更します。
<!-- <metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider" metadataURL="https://ex-ds.ecloud.nii.ac.jp/fed/ex-fed-metadata.xml" backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml"> --> <!-- test fed-->
<metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml"
backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml"> ... <!-- <security:Certificate> /opt/shibboleth-idp/credentials/ex-fed.crt </security:Certificate> --> <!-- test fed-->
<security:Certificate> /opt/shibboleth-idp/credentials/gakunin-test-signer-2011.cer </security:Certificate >
③ tomcat再起動します。
service httpd restart service tomcat6 restart
④ 接続テスト用SP https://test-sp1.gakunin.nii.ac.jp にアクセスします。
・ログインボタンをクリックします。
・テストフェデレーションDSの所属している機関から各自の承認済みのIdP名称があるかどうかを確認し、選択をします。
・IdPサーバのログイン画面が表示され、ユーザtest001、パスワードtest001を入力して認証を行います。
・正しく属性受信の確認ページが表示されます。
・承認済みSPとIdP接続テスト
① 各自承認済みのSPにアクセスします。
例)1番を割り振られた場合 https://ex-sp-test01.ecloud.nii.ac.jp/
② ログインボタンをクリックします。
③ テストフェデレーションDSの所属している機関から各自の承認済みのIdPを選択します。
④ IdPサーバのログイン画面が表示され、ユーザtest001、パスワードtest001を入力して認証を行います。
⑤ 正しく属性受信の確認ページが表示されます。