このページの古いバージョンを表示しています。現在のバージョンを表示します。

現在のバージョンとの相違点 ページ履歴を表示

« 前のバージョン バージョン 10 次のバージョン »

 

Shibboleth IdPでStoredIDを利用するための設定方法(MySQL)

 

StoredIDはeduPersonTargetedID(ePTID)を生成する方法の一つで、 ComputedIDと比較して、

  • 使用中のePTIDを失効させ新しいIDを再生成できる
  • 万が一のSHA-1のコリジョンを防げる
  • インシデント発生時に、IdP側でePTIDから個人を特定するのが容易

という利点があります。

 



1. attribute-resolver.xmlの以下の部分を修正する。

<resolver:AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" xmlns="urn:mace:shibboleth:2.0:resolver:ad" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
sourceAttributeID="storedID">

 <resolver:Dependency ref="storedID" />

 <resolver:AttributeEncoder xsi:type="SAML1XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" />

 <resolver:AttributeEncoder xsi:type="SAML2XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" />
</resolver:AttributeDefinition>

※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。



2. 同じくattribute-resolver.xmlの、ComputedIdのDataConnectorが定義されている部分をコメントアウトする。
 
 


3. 同じくattribute-resolver.xmlで、下記の内容を追加する。
(初回はLDAPのuidを元にsaltをソルトとしてIDを生成し、DBに保存する)

(学認提供のテンプレートを使っている場合はコメントアウトされているので有効にしてください)

<!-- Stored targeted ID connector -->
<resolver:DataConnector xsi:type="StoredId" xmlns="urn:mace:shibboleth:2.0:resolver:dc"
id="storedID"
generatedAttributeID="storedID"
sourceAttributeID="uid"
salt="xxxxx"> ← ランダムな文字列(例えばSHA1ハッシュ値)を設定。ただしすでにComputedIdで生成されたePTIDを利用している場合はComputedIdのsaltに合わせること

 <resolver:Dependency ref="myLDAP" />

<ApplicationManagedConnection
jdbcDriver="com.mysql.jdbc.Driver"
jdbcURL="jdbc:mysql://localhost:3306/shibpid?autoReconnect=true"
jdbcUserName="user" ← DBに接続するユーザ名
jdbcPassword="pass" /> ← DBに接続するパスワードを指定

</resolver:DataConnector>
 

※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。 

 



 
4. データベースにテーブルを作成する。(MySQLの場合)

CREATE TABLE IF NOT EXISTS shibpid (
localEntity TEXT NOT NULL,
peerEntity TEXT NOT NULL,
principalName VARCHAR(255) NOT NULL default '',
localId VARCHAR(255) NOT NULL,
persistentId VARCHAR(36) NOT NULL,
peerProvidedId VARCHAR(255) default NULL,
creationDate timestamp NOT NULL default CURRENT_TIMESTAMP on update CURRENT_TIMESTAMP,
deactivationDate timestamp NULL default NULL,
KEY persistentId (persistentId),
KEY persistentId_2 (persistentId, deactivationDate),
KEY localEntity (localEntity(16), peerEntity(16),localId),
KEY localEntity_2 (localEntity(16), peerEntity(16), localId, deactivationDate) )
ENGINE=MyISAM DEFAULT CHARSET=utf8;

  


 
4. JDBCのドライバー(mysql-connector-java-5.1.xx-bin.jar)を取得する。

https://www.mysql.com/downloads/connector/j/
よりmysql-connector-java-5.1.xx.zipをダウンロードしてください。

その際、PGP署名を確認するようにしてください。"Signature"リンクの先にある

-----BEGIN PGP SIGNATURE-----
...
-----END PGP SIGNATURE-----

 

の部分をヘッダフッタも含めてコピーし、mysql-connector-java-5.1.xx.zip.ascというファイルにペーストした上で
https://dev.mysql.com/doc/refman/5.1/ja/checking-gpg-signature.html
にある手順に従って署名検証してください。

 

ダウンロードしたZIPを展開すると中にmysql-connector-java-5.1.xx-bin.jarというファイルがあります。

 


5. JDBCドライバーをインストールする。

4で取得したJARファイルを

  1. /opt/shibboleth-idp/lib/
  2. /usr/java/tomcat/webapps/idp/WEB-INF/lib/

の両方に配置してください。本来後者は、IDP_SRC/lib/に配置した上でインストールスクリプトを実行してidp.warを再生成するものですが、ひとまず上記ディレクトリに置き、次回セキュリティアップデート時にでも上記方法でidp.warを生成/配置すればOKです。

 


6. Tomcatを再起動する。

すべての作業が終わりましたらTomcatを再起動してください。

参考: https://wiki.shibboleth.net/confluence/display/SHIB2/ResolverStoredIDDat...
参考: https://wiki.shibboleth.net/confluence/display/SHIB2/StoredIDDataConnect...

 



 

 


 

  • ラベルがありません