GakuNinShibInstall

スペース ショートカット

ページ ツリー

このページの古いバージョンを表示しています。現在のバージョンを表示します。

現在のバージョンとの相違点 ページ履歴を表示

« 前のバージョン バージョン 2 次のバージョン »

IdPの設定方法

学認に参加しているIdPでeduGAINメタデータを読み込む手順です。技術ガイド relying-party.xml ファイルの確認 の手順に従って、学認の運用フェデレーションメタデータを読み込んでいる前提で説明します。

eduGAINメタデータを読み込む前に学認申請システムから当該IdPの変更申請を行い、「eduGAINへ参加する」にチェックを入れてください。

現在eduGAINとの連携はテスト中のため、学認申請システムでeduGAINの参加が承認されたとしても自動的に反映されません。お手数ですが事務局へご一報ください。

eduGAINメタデータを検証するための証明書(https://www.edugain.org/mds-2014.cer)をダウンロードして、任意のディレクトリに置き、そのパスを設定します。(以下では「/opt/shibboleth-idp/credentials/」に置いたものとして説明しています)

ダウンロードした検証用証明書のフィンガープリントが下記と一致するか確認してください。

  • SHA-256 

    SHA-256: 12:8F:40:34:6A:D0:BE:D0:D2:92:8E:07:11:89:90:A7:46:04:30:22:D0:3D:55:22:2E:62:60:7C:C3:D5:40:C0

  • SHA-1

    SHA-1: 8B:81:7A:0C:F3:F8:35:2F:85:91:9F:11:37:14:3F:98:91:8C:F8:34

eduGAINメタデータを自動的にダウンロードする設定を行います。/opt/shibboleth-idp/conf/metadata-providers.xml ファイルで、学認の運用フェデレーションメタデータを読み込む設定の直下に下記の設定を追加してください。

    <MetadataProvider id="HTTPMetadata-eduGAIN"
                      xsi:type="FileBackedHTTPMetadataProvider"
                      backingFile="%{idp.home}/metadata/edugain-feed-sha256-backing.xml"
                      ↑ eduGAINメタデータは上記のファイル名で保存されます。必要に応じて調整してください。
                      metadataURL="http://mds.edugain.org/feed-sha256.xml">

        <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                        certificateFile="%{idp.home}/credentials/mds-2014.cer"/>
        <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P9D"/>
                                                                       ↑ 9日間を設定します。
        <!-- MetadataFilter xsi:type="SchemaValidation"/ -->
        <MetadataFilter xsi:type="EntityRoleWhiteList">
            <RetainedRole>md:SPSSODescriptor</RetainedRole>
        </MetadataFilter>
    </MetadataProvider>

 

SPの設定方法

学認に参加しているSPでeduGAINメタデータを読み込む手順です。技術ガイド shibboleth2.xml ファイル の手順に従って、学認の運用フェデレーションメタデータを読み込んでいる前提で説明します。

 

eduGAINメタデータを読み込む前に学認申請システムから当該SPの変更申請を行い、「eduGAINへ参加する」にチェックを入れてください。

 

現在eduGAINとの連携はテスト中のため、学認申請システムでeduGAINの参加が承認されたとしても自動的に反映されません。お手数ですが事務局へご一報ください。

eduGAINメタデータを検証するための証明書https://www.edugain.org/mds-2014.cerをダウンロードして、任意のディレクトリに置き、そのパスを設定します。(以下では「 /etc/shibboleth/cert/」に置いたものとして説明しています)

ダウンロードした検証用証明書のフィンガープリントが下記と一致するか確認してください。

  • SHA-256

    SHA-256: 12:8F:40:34:6A:D0:BE:D0:D2:92:8E:07:11:89:90:A7:46:04:30:22:D0:3D:55:22:2E:62:60:7C:C3:D5:40:C0

  • SHA-1

    SHA-1: 8B:81:7A:0C:F3:F8:35:2F:85:91:9F:11:37:14:3F:98:91:8C:F8:34

eduGAINメタデータを自動的にダウンロードし、検証するための設定を行います。/etc/shibboleth/shibboleth2.xml ファイルで、学認の運用フェデレーションメタデータを読み込む設定の直下に下記の設定を追加してください。

        <!-- for eduGAIN -->
        <MetadataProvider type="XML" validate="true"
              uri="http://mds.edugain.org/feed-sha256.xml"
              backingFilePath="edugain-feed-sha256.xml" reloadInterval="7200">
                 ↑ eduGAINメタデータは上記のファイル名で保存されます。必要に応じて調整してください。
            <MetadataFilter type="RequireValidUntil" maxValidityInterval="777600"/>
                                                          ↑ 9日間(777600秒)を設定します。
            <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/mds-2014.cer"/>
            <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true"
              attributeName="http://macedir.org/entity-category"
              attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
              attributeValue="http://refeds.org/category/hide-from-discovery" />
        </MetadataProvider>

バッキングファイルが他者によって変更されないことが確実な場合はSignature MetadataFilterの末尾に verifyBackup="false" を追加してください。起動時のメタデータ読み込み時にバッキングファイルの署名検証がスキップされ起動が速くなります。


参考情報

  • ラベルがありません