IdPメタデータの作成サンプル(★)
以下のメタデータテンプレートはこちらからダウンロードできます。
※実習セミナーでは、/root/GETFILE/からコピーしたものを利用するので、ダウンロードは行いません。
⇒IdPメタデータテンプレート
実習セミナー
スコープ(shibmd:Scope)は、「nii.ac.jp」とします。 (★)
OrganizationDisplayNameの「XX」部分を割り振られた番号に変更します。
例)1番を割り振られた場合
・ホスト名: ex-idp-test01.ecloud.nii.ac.jp
・OrganizationDisplayName:
Ex-IdP-Test01
実習セミナーIdPテスト01
ホスト名や証明書は、構築したIdPの情報に変更してください。
<EntityDescriptor entityID="https://IdP-HostName/idp/shibboleth"> ↑ホスト名 <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0 urn:oasis:names:tc:SAML:2.0:protocol"> <Extensions> <shibmd:Scope xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" regexp="false">SCOPE</shibmd:Scope> 構築したIdPのスコープ ↑ <mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui"> <mdui:Keywords xml:lang="en">category:location:seito</mdui:Keywords> </mdui:UIInfo> </Extensions> <KeyDescriptor> <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate> MIIEvzCCA6egAwIBAgIISsTdjO+g1Y4wDQYJKoZIhvcNAQEFBQAwfTELMAkGA1UE BhMCSlAxETAPBgNVBAcTCEFjYWRlbWUyMSowKAYDVQQKEyFOYXRpb25hbCBJbnN0 aXR1dGUgb2YgSW5mb3JtYXRpY3MxDTALBgNVBAsTBFVQS0kxIDAeBgNVBAsTF05J (中略) kBFfvNBdrux4CkIsKhpYQXCAIEuy12CFZUXEtHB5XxeBkntbs2lfP/rWbg2J1Ige zZc6shCn3VdrL2douVFjaAXlc8zwys/KIpLzNSxOOGwJdKxFTaIzH/emcqKj93Jd DC1rrFMhoPE= ↑設定した証明書に変更(/opt/shibboleth-idp/credentials/server.crt) </ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </KeyDescriptor> <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat> <SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest" Location="https://IdP-HostName/idp/profile/Shibboleth/SSO" /> ↑ホスト名 <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdP-HostName/idp/profile/SAML2/POST/SSO" /> ↑ホスト名 <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://IdP-HostName/idp/profile/SAML2/Redirect/SSO" /> ↑ホスト名 </IDPSSODescriptor> <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol"> <Extensions> <shibmd:Scope xmlns:shibmd="urn:mace:shibboleth:metadata:1.0" regexp="false">SCOPE</shibmd:Scope> 構築したIdPのスコープ ↑ </Extensions> <KeyDescriptor> <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate> MIIEvzCCA6egAwIBAgIISsTdjO+g1Y4wDQYJKoZIhvcNAQEFBQAwfTELMAkGA1UE BhMCSlAxETAPBgNVBAcTCEFjYWRlbWUyMSowKAYDVQQKEyFOYXRpb25hbCBJbnN0 aXR1dGUgb2YgSW5mb3JtYXRpY3MxDTALBgNVBAsTBFVQS0kxIDAeBgNVBAsTF05J (中略) kBFfvNBdrux4CkIsKhpYQXCAIEuy12CFZUXEtHB5XxeBkntbs2lfP/rWbg2J1Ige zZc6shCn3VdrL2douVFjaAXlc8zwys/KIpLzNSxOOGwJdKxFTaIzH/emcqKj93Jd DC1rrFMhoPE= ↑設定した証明書に変更(/opt/shibboleth-idp/credentials/server.crt) </ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </KeyDescriptor> <AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" Location="https://IdP-HostName:8443/idp/profile/SAML1/SOAP/AttributeQuery"/> ↑ホスト名 <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://IdP-HostName:8443/idp/profile/SAML2/SOAP/AttributeQuery"/> ↑ホスト名 <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:transient</NameIDFormat> </AttributeAuthorityDescriptor> <!-- This is just information about the entity in human terms. --> <Organization> <OrganizationName xml:lang="en">Training Seminar University</OrganizationName> <OrganizationName xml:lang="ja">実習セミナー大学</OrganizationName> ↑機関名(英/日) <OrganizationDisplayName xml:lang="en">Ex-IdP-TestXX</OrganizationDisplayName> <OrganizationDisplayName xml:lang="ja">実習セミナーIdPテストXX</OrganizationDisplayName> ↑IdP名称(英/日)DSに表示されます 登録先DS内で一意になるようにして下さい。 同じ名前があると、DSでIdP選択が行えなくなります。 <OrganizationURL xml:lang="en">http://YourHomePage/en/</OrganizationURL> <OrganizationURL xml:lang="ja">http://YourHomePage/ja/</OrganizationURL> ↑機関URL(英/日) </Organization> <ContactPerson contactType="technical"> ↑連絡先ポジションを以下から選択 [technical, support, administrative, billing, other] <GivenName>Your GivenName</GivenName> ↑連絡先名 <SurName>Your SurName</SurName> ↑連絡先名 <EmailAddress>admin@example.org</EmailAddress> ↑連絡先のe-mailアドレス (メタデータは公開されるのでalias名などを推奨:システム運用基準4.4項参照) </ContactPerson> </EntityDescriptor>
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
※ 証明書は複数指定できます。例えば証明書を更新する場合などは一時的に古い証明書と新しい証明書の両方を並行運用したい場合があるでしょう。複数の証明書 を記載する場合は<KeyDescriptor>部分を繰り返してください(下記参照)。2カ所ありますので両方変更することを忘れないでく ださい。
<KeyDescriptor>
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>■1枚目</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<KeyDescriptor>
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>■2枚目</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>