metadata-providers.xml ファイルの変更(★)
メタデータの自動ダウンロードやローカルのメタデータを参照するためにmetadata-providers.xml ファイルを変更します。
学術認証フェデレーションのメタデータを自動的にダウンロードするために IdPのトラストアンカーの確認と必要なCA証明書の導入 のページを参照して必要なCA証明書が導入されていることをご確認ください。
また検証用証明書(https://metadata.gakunin.nii.ac.jp/gakunin-signer-2010.cer)をダウンロードして、任意のディレクトリに置き、そのパスを設定します。
以下では「/opt/shibboleth-idp/credentials/」に置いたものとして説明しています。
(上記は運用フェデレーションの場合で、テストフェデレーションの場合はgakunin-test-signer-2011.cerをダウンロードして使用してください。
詳しくはテストフェデレーションルールをご参照ください。 → テストフェデレーションルール)
学術認証フェデレーションのメタデータを自動的にダウンロードする設定をします。
実習セミナー
・学術認証フェデレーションのメタデータは、使用しません。
実習セミナー内のDSサーバからダウンロードする設定を行います。
以下のアドレスをダウンロード先に設定してください。
https://ex-ds.gakunin.nii.ac.jp/fed/ex-fed-metadata.xml
・メタデータの署名検証用証明書は、初期設定で「/root/GETFILE」に取得したex-fed.crt を使用します。
「/opt/shibboleth-idp/credentials」にコピーしてください。
# cp /root/GETFILE/ex-fed.crt /opt/shibboleth-idp/credentials/
以下の設定では、証明書のファイル名を「ex-fed.crt」と設定します。
- 運用フェデレーション用メタデータ
https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml テストフェデレーション用メタデータ
https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xmlメタデータの読み込みについての注意点
運用フェデレーション用メタデータと、テストフェデレーション用メタデータを同時に読み込まないようにしてください。テストフェデレーションから運用フェデレーションへの移行時にテストフェデレーション用メタデータの自動読み込み設定を削除せず、運用フェデレーション用メタデータの自動読み込み設定を追記した場合に、両方のメタデータを読み込んだ状態となります。
運用フェデレーション用メタデータ・テストフェデレーション用メタデータの両方を自動読み込みする設定になっていると、意図せずテストフェデレーション用メタデータの情報が利用されることで運用フェデレーションSPとの認証でエラーが発生する可能性があります。
また、テストフェデレーションから運用フェデレーションへ同一entityIDで移行する場合には、テストフェデレーション側のIdPは廃止申請を行ってください。テスト用途でテストフェデレーションにIdPを登録する場合には運用フェデレーションと異なるentityIDで登録してください。
/opt/shibboleth-idp/conf/metadata-providers.xml ファイルを以下のように編集してください。(★)
The EntityRoleWhiteList saves memory by only loading metadata from entity types
that you will interoperate with.
-->
← コメントアウト解除
<MetadataProvider id="HTTPMetadata"
xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/localCopyFromXYZHTTP.xml"
↑ メタデータは、このファイル名で保存 metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml">
↑ 参照先ダウンロードメタデータのアドレス
<MetadataFilter xsi:type="SignatureValidation"
requireSignedMetadata="true">
<security:TrustEngine id="MyTrustEngine" xsi:type="security:StaticExplicitKeySignature">
<security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
<security:Certificate>%{idp.home}/credentials/gakunin-signer-2010.cer</security:Certificate>
↑ メタデータの署名検証用証明書 </security:Credential>
</security:TrustEngine>
<!-- ← 公開鍵をファイルで指定するのでコメントアウト
<PublicKey>
THIS IS AN EXAMPLE
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAxg0TyQAP/tIvOH89EtaX
uRRn8SYzTj7W1TbNY4VvBmobjkRmSkki4hH9x4sQpi635wn6WtXTN/FNNmkTK3N/
LspmBWxfZS+n+cc7I82E5yvCAPX67QsZgqgglp2W5dvK/FsMMCS6X6SVqzBLMP88
NenXKxY+HMxMs0sT0UKYh1cAEqadrHRBO65aDBcm5a0sBVYt9K6pgaOHrp/zSIbh
nR5tFFLjBbtFktDpHL3AdGBH3OYidNGKBO3tJ3Ms7LeKXsM0+0Y4P+9fHZINL2X3
E2N6GVnKs5PZTg9sP0FtIpAbYm/+zCx7Yj1ET/Er8mDd6tNVGSQsn9s5xUBwGqn1
4wIDAQAB
</PublicKey>
--> ← 公開鍵をファイルで指定するのでコメントアウト
</MetadataFilter>
<MetadataFilter xsi:type="RequiredValidUntil"
maxValidityInterval="P15D" />
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
<!-- --> ← コメントアウト解除
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
(maxValidityIntervalおよびメタデータのvalidUntilについては以下をご参照ください。
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
Tomcatを”tomcat”ユーザで実行する場合かつ当該ディレクトリの所有者が適切に設定されていない場合は、Tomcatが自動取得したメタデータを保存できるよう、ディレクトリの所有者を変更します。
# chown -R tomcat /opt/shibboleth-idp/metadata/