本技術ガイドでは、フェデレーションに参加して連携する設定を説明していますが、ここでは、所属機関内のみで使用するSPを構築した場合など、特定のIdP・特定のSPの間でのみ連携する設定に変更する方法を説明します。
SP側shibboleth2.xmlとIdP側relying-party.xmlを編集し、 以下のように設定します。
IdPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってIdPメタデータを取得してください。
○学認申請システムにアクセスして、「新規IdP申請」をクリックします。
○右側の入力に以下の必須情報を入力します。
entityID → 指定するIdPのentityID。 例: https://idp.example.ac.jp/idp/shibboleth
機関名称 → 入力例: フェデレーション大学 / The University of Federation
スコープ → SPがIdPを識別するための情報。 例: nii.ac.jp
証明書 → IdPの証明書をファイルで指定するか、もしくは MII… で始まる中身を貼り付けます。
IdP名称 → 他のIdP/SPと区別できる名称。
機関情報URL → IdP運用機関のウェブサイトURL。
連絡先 → 種別は「技術的問い合せ先(technical)」を選択して連絡先を入力してください。
○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」をクリックしてください。当該IdPのメタデータが生成されます。
|
<SSO entityID="https://test-idp1.gakunin.nii.ac.jp/idp/shibboleth" ↑IdPを設定(metadataに設定されているentityID) discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF"> SAML2 SAML1 </SSO> |
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
設定変更後、httpdとshibdを再起動します。
service httpd restart service shibd restart |
SPのメタデータを別途取得している場合はそのメタデータファイルを用いてください。そうでない場合は以下の手順に従ってSPメタデータを取得してください。
○学認申請システムにアクセスして、「新規SP申請」をクリックします。
○右側の入力に以下の必須情報を入力します。
entityID → 指定するSPのentityID。 例: https://sp.example.ac.jp/shibboleth-sp
機関名称 → 入力例: フェデレーション大学 / The University of Federation
証明書 → SPの証明書をファイルで指定するか、もしくは MII… で始まる中身を貼り付けます。
DSからのリターンURL → DSからの戻り先となるURL。例: https://sp.example.ac.jp/Shibboleth.sso/DS
SP名称 → 他のIdP/SPと区別できる名称。
機関情報URL → SP運用機関のウェブサイトURL。
連絡先 → 種別は「技術的問い合せ先(technical)」を選択して連絡先を入力してください。
○入力後、申請せずに、「以下の内容でエンティティメタデータ生成」をクリックしてください。当該SPのメタデータが生成されます。
「Metadata Configuration」を検索し、場所を特定してください。 <!-- --> コメントアウトを解除、メタデータの場所を設定 <metadata:MetadataProvider id="IdPMD" xsi:type="metadata:ResourceBackedMetadataProvider"> <metadata:MetadataResource xsi:type="resource:FilesystemResource" file="/opt/shibboleth-idp/metadata/メタデータファイル名"/> </metadata:MetadataProvider> <!-- --> コメントアウトを解除 (省略) フェデレーションのメタデータ設定をコメントアウトします。 <!-- コメントアウト <metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider" metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" backingFile="/opt/shibboleth-idp/metadata/some-metadata.xml"> <metadata:MetadataFilter xsi:type="metadata:ChainingFilter"> <metadata:MetadataFilter xsi:type="metadata:RequiredValidUntil" maxValidityInterval="P15D" /> <metadata:MetadataFilter xsi:type="metadata:SignatureValidation" trustEngineRef="shibboleth.MetadataTrustEngine" requireSignedMetadata="true" /> <metadata:MetadataFilter xsi:type="metadata:EntityRoleWhiteList"> <metadata:RetainedRole>samlmd:SPSSODescriptor&g\lt;/metadata:RetainedRole> </metadata:MetadataFilter> </metadata:MetadataFilter> </metadata:MetadataProvider> --> コメントアウト |
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
設定変更後、tomcatを再起動します。
service tomcat6 restart |
※フェデレーションのメタデータの参照設定を行った設定にrelying-party.xmlを戻す場合は、こちらを参照してください。
利用するSPにアクセスし、DSを経由せず、設定したIdPに直接アクセスすること、およびIdPで認証してSPに接続できることを確認してください。