Shibboleth IdPでStoredIDを利用するための設定方法(MySQL)
StoredIDは eduPersonTargetedID (ePTID)を生成する方法の一つです。 ComputedIDと比較して、以下の利点があります。
- 使用中のePTIDを失効させ新しいIDを再生成できる
- 万が一のSHA-1のコリジョンを防ぐことができる
- インシデント発生時に、IdP側でePTIDから個人を特定するのが容易である
1. データベースにテーブルを作成する
MySQL上にデータベース shibboleth を作成し、以下のテーブルを追加します。
CREATE TABLE shibpid ( localEntity VARCHAR(255) NOT NULL, peerEntity VARCHAR(255) NOT NULL, persistentId VARCHAR(50) NOT NULL, principalName VARCHAR(50) NOT NULL, localId VARCHAR(50) NOT NULL, peerProvidedId VARCHAR(50) NULL, creationDate TIMESTAMP NOT NULL, deactivationDate TIMESTAMP NULL, PRIMARY KEY (localEntity, peerEntity, persistentId)) ENGINE=InnoDB DEFAULT CHARSET=utf8;※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
2. JDBCのドライバー(mysql-connector-java-5.1.xx-bin.jar)を取得する
MySQL Connector/Jのダウンロードページ(https://dev.mysql.com/downloads/connector/j/)より mysql-connector-java-5.1.xx.zip をダウンロードしてください。
ダウンロード後にPGP署名を確認するようにしてください。"Signature"リンクの先にある
-----BEGIN PGP SIGNATURE----- ... -----END PGP SIGNATURE-----
の部分をヘッダフッタも含めてコピーし、mysql-connector-java-5.1.xx.zip.asc というファイルにペーストした上で、「GnuPG を使用した署名確認(https://dev.mysql.com/doc/refman/5.1/ja/checking-gpg-signature.html)」にある手順に従って署名検証してください。
PGPの署名検証が完了したら、ダウンロードしたZIPファイルを展開してください。中にmysql-connector-java-5.1.xx-bin.jarというJARファイルがあります。
3. JDBCドライバーをインストールする
2.で取得したJARファイルを/opt/shibboleth-idp/edit-webapp/WEB-INF/lib/
に配置したあとビルドスクリプトを実行しidp.warを再生成します。
# cp mysql-connector-java-5.1.xx/mysql-connector-java-5.1.xx-bin.jar /opt/shibboleth-idp/edit-webapp/WEB-INF/lib
# /opt/shibboleth-idp/bin/build.sh
Installation Directory: [/opt/shibboleth-idp][Enter] ←入力なし
Rebuilding /opt/shibboleth-idp/war/idp.war ...
...done
BUILD SUCCESSFUL
Total time: 3 seconds
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
4. /opt/shibboleth-idp/conf/global.xml を修正する
/opt/shibboleth-idp/conf/global.xmlでbean MyDataSourceを定義します。
<!-- Use this file to define any custom beans needed globally. -->
<bean id="MyDataSource"
class="org.apache.tomcat.dbcp.dbcp.BasicDataSource"
p:driverClassName="com.mysql.jdbc.Driver"
p:url="jdbc:mysql://localhost:3306/データベース名"
p:username="データベースユーザー名"
p:password="データベースパスワード"
p:maxActive="10"
p:maxIdle="5"
p:maxWait="15000"
p:testOnBorrow="true"
p:validationQuery="select 1"
p:validationQueryTimeout="5" />
<!--
Algorithm whitelists and blacklists that override or merge with library defaults. Normally you can leave
these empty or commented and use the system defaults, but you can override those defaults using these lists.
Each <value> element is an algorithm URI, or you can use <util:constant> elements in place of literal values.
-->
5. /opt/shibboleth-idp/conf/saml-nameid.properties を修正する
idp.persistentId.sourceAttribute, idp.persistentId.salt, idp.persistentId.generatorとidp.persistentId.storeを設定します。
idp.persistentId.saltには他人が推測できないランダムな値を指定してください。古いIdPから設定を引き継ぐ場合は同じ値を指定してください。
# For computed IDs, set a source attribute and a secret salt:
idp.persistentId.sourceAttribute = uid←アンコメントして修正
#idp.persistentId.useUnfilteredAttributes = true
# Do *NOT* share the salt with other people, it's like divulging your private key.
#idp.persistentId.algorithm = SHA
idp.persistentId.salt = XXXXXXXXXXXXXXXX←アンコメントして修正
# To use a database, use shibboleth.StoredPersistentIdGenerator
idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator← アンコメントして修正
# For basic use, set this to a JDBC DataSource bean name:
idp.persistentId.dataSource = MyDataSource←アンコメントして修正
# For advanced use, set to a bean inherited from shibboleth.JDBCPersistentIdStore
#idp.persistentId.store = MyPersistentIdStore
6. /opt/shibboleth-idp/conf/attribute-resolver.xml を修正する
idp.persistentId.sourceAttributeで指定した属性がLDAPで定義されているのみでconf/attribute-resolver.xmlに対応するresolver:AttributeDefinitionが存在しない場合、
以下のresolver:AttributeDefinitionをアンコメントします。
<!-- -->
<resolver:AttributeDefinition id="%{idp.persistentId.sourceAttribute}" xsi:type="ad:Simple" sourceAttributeID="%{idp.persistentId.sourceAttribute}">
<resolver:Dependency ref="myLDAP" />
</resolver:AttributeDefinition>
<!-- -->
7. /opt/shibboleth-idp/conf/attribute-resolver.xml を修正する2
storedID 用の id="eduPersonTargetedID" の AttributeDefinition をアンコメントします。その際、computedID 用の AttributeDefinition がアンコメントされている場合はコメントアウトします。
また、storedID 用の DataConnector をアンコメントします。
(省略)
<!--
<resolver:AttributeDefinition xsi:type="ad:SAML2NameID" id="eduPersonTargetedID" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" sourceAttributeID="computedID">
<resolver:Dependency ref="computedID" />
<resolver:AttributeEncoder xsi:type="enc:SAML1XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" encodeType="false" />
<resolver:AttributeEncoder xsi:type="enc:SAML2XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" encodeType="false" />
</resolver:AttributeDefinition>
-->← コメントアウト
(省略)
<!-- -->
<resolver:AttributeDefinition xsi:type="ad:SAML2NameID" id="eduPersonTargetedID" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" sourceAttributeID="storedID">
<resolver:Dependency ref="storedID" />
<resolver:AttributeEncoder xsi:type="enc:SAML1XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" encodeType="false" />
<resolver:AttributeEncoder xsi:type="enc:SAML2XMLObject" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" encodeType="false" />
</resolver:AttributeDefinition>
<!-- -->
(省略)
<!-- -->
<resolver:DataConnector id="storedID" xsi:type="dc:StoredId"
generatedAttributeID="storedID"
sourceAttributeID="%{idp.persistentId.sourceAttribute}"
salt="%{idp.persistentId.salt}">
<resolver:Dependency ref="%{idp.persistentId.sourceAttribute}" />
<dc:BeanManagedConnection>MyDataSource</dc:BeanManagedConnection>
</resolver:DataConnector>
<!-- -->
(省略)
8. Tomcatを再起動する
すべての作業が終わりましたらTomcatを再起動してください。
参考: GakuNinShare:Shibboleth IdP 3 のstoredIdの項