学認クラウドゲートウェイサービス利用に関してよくあるご質問 (FAQ)

※ 学認クラウドゲートウェイサービス利用申請などその他のよくあるご質問はこちら⇒学認クラウドウェブサイト

WAYFless URLを持つSPをプライベートサービスに登録するには?

SPによってはディスカバリーサービス(DS)のIdPリストから所属機関を選択して認証する方法のほかに、所属機関ごとに用意されるWAYFless URLを用いてログインする方法が提供される場合があります。WAYFless URLは所属機関ごとに異なるURLが発行されるため、学認クラウドゲートウェイサービスの利用可能サービスとして表示するためにはプライベートサービスを活用する必要があります。

あなたが所属機関のIdP管理者である場合には、プライベートサービスを機関グループに接続することで、機関に所属するユーザが利用可能なサービスとして公開することができます。プライベートサービスを使ったWAYFless URLのサービス追加について以下に設定例を記載します (事前に プライベートサービス のドキュメントをご一読ください)。


meatwiki等の連携SPにて学認クラウドゲートウェイサービスで設定したグループ権限でアクセスできない

meatwikiをはじめとした学認クラウドゲートウェイサービス連携SPでは「MYグループ」で設定したグループ情報に基づいて、SPごとに定められた処理(アクセス権の付与など)が行われています。グループ情報の登録が学認クラウドゲートウェイサービス上では正しくなされているにも関わらず、連携SP側に正しいグループ情報が渡っていない(許可されているはずのページが表示されない、スペースが表示されないなど)の場合には次の原因が考えられます。

IdPから連携SPへ必要な属性が送信されていない

学認クラウドゲートウェイサービスへ必要な属性を送信しているのと同様に、連携SPへもそれが要求している属性を送信してください。特にePPN (eduPersonPrincipalName) を連携SPへも送信しないとグループ情報が渡らない原因となります。

ePPN属性の値が変更になった

以前はアクセスできていたものがメンバー変更等を行っていないのにアクセスできなくなった場合、IdP側の設定変更でePPN属性の値が変更になった可能性があります。連携SPはePPNをユーザのIDとしていますのでこれが変更になっていると別人として扱われ、必要な権限が得られません。さらに学認クラウドゲートウェイサービスもePPNをユーザのIDとしているため、旧ePPNでグループのメンバーだったという情報が新ePPNには引き継がれません。このようになってしまった場合はグループ管理者に依頼して新ePPNのアカウントを改めてグループメンバーにしてもらう必要があります。その後、連携SPにアクセスし再度ログインすれば、グループメンバーとして正しく認識されるはずです。

詳しくは所属機関のIdP管理者にお問い合わせください。これはスコープが変更になった場合も同様です。

IdPから送信されるePPNがSPごとに異なっている

IdPから学認クラウドゲートウェイサービスと連携SPにそれぞれ異なるePPN (eduPersonPrincipalName) が送信されていることが原因で正しいグループ情報が渡らず、結果として意図した動作ができないという場合があります。これは連携SPがePPNをキーとして学認クラウドゲートウェイサービスへ問い合わせを行うために、SPごとにそれぞれ異なるePPNが送信されている場合には別の人物として取り扱われるためです。

ePPNの送信に関しては、フェデレーションに参加する全てのSPに対して同じ値を送信する必要があることが学認の属性リスト ( eduPersonPrincipalName ) にも明記されています。

学認クラウドゲートウェイサービスとIdPから得られる情報の違いについて

学認クラウドゲートウェイサービスではグループID(isMemberOf)のほかに学認クラウドゲートウェイサービス上に保持する属性としてeduPersonTargetedID (ePTID)、メールアドレス(mail)、氏名(displayName)等を保持しており、これらを利用者の同意に基づいて対応SPへ送信することが可能です。
また、同時にこれらの情報は所属機関IdPで属性の送信を許可している場合にはIdPから情報を得ることも可能となっています。

対応SPでこれらの情報を利用する場合には正確性や入手容易性に関する次の特性をふまえ、属性値の利用を検討してください。

必須属性が送られていないときの学認クラウドゲートウェイサービスの挙動について

学認クラウドゲートウェイサービスの利用にはIdPから属性送信をしていただく必要があります。送信が必要な必須属性は 学認クラウドゲートウェイサービス連携のための情報#IdP管理者に必要な情報に示す通りです。

必須属性が送られていない場合には以下の挙動を示します。学認クラウドゲートウェイサービスに利用申請していただいていない機関の方はログイン後直接後者の画面が表示されます。また、招待メール記載のURLからログインした場合も後者の画面が表示されます。

なお、学認クラウドゲートウェイサービスから連携している他サービス(SP)を利用する場合、当該サービスに必要な属性を送信していないとサービスが利用できません。詳細は各サービスへお問い合わせください。例えばmeatwikiを利用するために必要な属性を送信していないと以下のような"We're sorry, but you cannot access this service at this time."で始まるエラー画面が表示されるようです。

IdPで認証時にブラウザに「SAML response reported an IdP error」というエラーが出力されます

アカウントの紐付けなどの処理において(特に認証時)、ブラウザに以下のエラーが出力される場合は、所属機関IdPでForce Authentication機能が無効もしくは非対応である可能性があります。IdPの設定情報等の詳細は所属機関機関のIdP管理者にお問い合わせください。

opensaml::FatalProfileException

The system encountered an error at Wed Dec 12 17:00:08 2018
To report this problem, please contact the site administrator at root@localhost.
Please include the following message in any email:
opensaml::FatalProfileException at (https://cg.gakunin.jp/Shibboleth.sso/SAML2/POST)
SAML response reported an IdP error.

Error from identity provider:
    Status: urn:oasis:names:tc:SAML:2.0:status:Requester
    Sub-Status: urn:oasis:names:tc:SAML:2.0:status:AuthnFailed
    Message: An error occurred.