目次

このページに書いてある手順に従うことにより、学認に参加しているSPについて、attribute-filter.xml を手で修正することなく、学認申請システムでの選択に従ってIdPから属性送信を行うことができるようになります。

0. 機能および前提条件

属性送信対象SPの追加・削除のみが操作可能で、個々の属性を送信するか否かをIdP管理者が操作することはできません。SPが学認に申請した通りに属性を送ります。

各SPが要求する属性はこちら⇒SP接続情報

現在提供しているのは以下の3種類のattribute-filter.xml設定ファイルです:

  1. uApproveJPプラグインがインストールされたShibboleth IdP 3.x向け (target=uapprovejp3)
  2. (uApproveJPをインストールしていない)Shibboleth IdP 3.x向け (target=idp3)
  3. uApproveJP 2.2.1がインストールされたShibboleth IdP 2.4.x向け (target=uapprovejp221)

適切なパラメーターを付与してご利用ください。

以下のマニュアルについては、現在IdPv3向けの設定が暫定的に入っております。「a) 学認申請システムが生成したattribute-filterを直接読み込む方法」のみの対応です。また、現在の設定では定期的に再取得することができておりませんので、より適切な設定を調査中です。

任意属性については uApproveJP の機能により利用者が送信するかどうかを選択できます。

1. IdPにattribute-filterの自動読み込み設定を行う

IdPに対して以下のどちらかの手順を行ってください。全てが自動化されることに不安がある場合は、後者の方法を選択して間に検証手順を挟んでください。

a) 学認申請システムが生成したattribute-filterを直接読み込む方法

  1. /opt/shibboleth-idp/conf/service.xml に学認申請システムからattribute-filter.xmlをダウンロードするための設定を追加します。 configurationResourcePollingFrequency には再読み込みする間隔、 url には https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/申請書ベースID 、 file にはダウンロードしたファイルを保存するためのパスを指定してください。例として、学認IdP(申請書ベースID:PI0025JP)のattributer-filterをIdPのconfディレクトリ配下に60分おきにダウンロードするための設定を以下に示します。

        ...
        <srv:Service id="shibboleth.AttributeFilterEngine" xsi:type="attribute-afp:ShibbolethAttributeFilteringEngine"
            configurationResourcePollingFrequency="PT60M" configurationResourcePollingRetryAttempts="999">
            <srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter.xml" xsi:type="resource:FilesystemResource"/>
            <srv:ConfigurationResource xsi:type="resource:FileBackedHttpResource"
                url="https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PI0025JP?target=uapprovejp221"
                file="/opt/shibboleth-idp/conf/attribute-filter-fromoffice-backing.xml" />
        </srv:Service>

        ...

    PI0025JP の部分を置き換えてください。

    IdPv3の場合はservices.xmlの以下の部分に追記してください。同じく TI0379JP の部分を置き換えてください。

        <util:list id ="shibboleth.AttributeFilterResources">
            <value>%{idp.home}/conf/attribute-filter.xml</value>
            <value>https://office.gakunin.nii.ac.jp/TestFed/export/attribute_filter/TI0379JP?target=idp3</value>
        </util:list>

  2. Tomcatを再起動して、設定を反映します。

    $ sudo service tomcat6 restart

    この方法では、Tomcatを非root権限で動かしている場合は、confディレクトリに新規ファイルを書き込めない可能性があります。その場合は file に指定するファイルをあらかじめ作成し、ownerを変更するなどの事前準備が必要となります。
    例(ユーザtomcatで動かしている場合):

    $ ls -ld /opt/shibboleth-idp/conf
    drwxr-xr-x 2 root root 4096 10月  8 17:50 /opt/shibboleth-idp/conf
    
    $ sudo touch /opt/shibboleth-idp/conf/attribute-filter-fromoffice-backing.xml
    $ sudo chown tomcat:tomcat /opt/shibboleth-idp/conf/attribute-filter-fromoffice-backing.xml
    

b) 学認申請システムが生成したattribute-filterをローカルにダウンロードした上で読み込む方法

  1. 学認申請システムから自機関のIdP向けのattribute-filterをダウンロードします。wgetコマンドの引数には https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/申請書ベースID?target=uapprovejp221 を指定します。例として、学認IdP(申請書ベースID:PI0025JP)のattributer-filterをダウンロードするときのコマンドを以下に示します。PI0025JP の部分を置き換えてください。

    $ wget https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PI0025JP?target=uapprovejp221

  2. ダウンロードしたattribute-filter.xmlを任意のディレクトリに移動します。例として、IdPのconfディレクトリに移動し、ファイル名を attribute-filter-fromoffice.xml に変更しています。

    $ sudo mv PI0025JP\?target=uapprovejp /opt/shibboleth-idp/conf/attribute-filter-fromoffice.xml
  3. /opt/shibboleth-idp/conf/service.xml にダウンロードしたattribute-filterを読み込む設定を追加します。configurationResourcePollingFrequency には再読み込みする間隔、 file にはダウンロードしたファイルのパスを指定してください。例として、上でattributer-filterを60分おきに読み込むための設定を以下に示します。

        ...
        <srv:Service id="shibboleth.AttributeFilterEngine" xsi:type="attribute-afp:ShibbolethAttributeFilteringEngine"
            configurationResourcePollingFrequency="PT60M" >
            <srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter.xml" xsi:type="resource:FilesystemResource"/>
            <srv:ConfigurationResource file="/opt/shibboleth-idp/conf/attribute-filter-fromoffice.xml" xsi:type="resource:FilesystemResource"/>
        </srv:Service>

        ...
  4. Tomcatを再起動して、設定を反映します。

    $ sudo service tomcat6 restart

    この方法ではattribute-filterダウンロードの部分は自動化されませんので、定期的に手動で実行するなり、後述2.の操作後に実行するなり、cronで実行するなりして、attribute-filter-fromoffice.xml を置き換えてください。

いずれの場合も、以下の手順により動作確認が完了したら、既存の attribute-filter.xml に設定されている重複した学認参加SPに対するフィルタ設定を削除しておくほうが混乱がないでしょう。

2. 属性送信するSPを追加・変更する

ここでの操作が影響するのはSPへ属性を送信するか否かのみです。SPによっては別途接続申し込みが必要なものがあり、これは個別に行っていただく必要があります。
後者の詳細は学認のSP一覧をご参照ください。


  1. IdP運用担当者の方が学認申請システムにログインし、承認済みIdPの詳細画面を表示してください。

    ページ最下部に「利用可能なSPを選択する」リンクがありますのでクリックしてください。
    .
  2. SP選択画面が表示されます。
    まず、「特に指定しない(全てのSPで表示されます)」にチェックが入っていないことを確認してください。

    ページ先頭にある説明書きと注意書きは、別の機能についてのものですので、無視してください。

    このページでチェックを入れたSPに属性が送信されるようになりますので、慎重に行ってください。

    .

  3. 最後にページ最下部の「登録」ボタンをクリックしてください。

    .
  4. 上述の直接読み込むIdP設定の通りに行っていれば、最大でも1時間後には選択したSPに属性を送信するようになります。

3. 注意事項

この自動生成では、IdP管理者が選択できるのはSP単位で、選択されたSPについては、SP管理者が申請した通りの属性を送信するようになります。つまり

特定のSPについて特定の属性を送信したくない(例えば任意属性となっているものを利用者への選択肢として表示させない)場合は、以下のような記述を attribute-filter.xml (上記手順で追加したファイルではなく既存のもののほうです)に追加してください。

<!--  Additional Deny Policy for <SP名> -->
<afp:AttributeFilterPolicy id="DenyPolicyfor<SP名>" xmlns:afp="urn:mace:shibboleth:2.0:afp">
    <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="<SPのentityID>" />

    <afp:AttributeRule attributeID="<属性名>">
                <afp:DenyValueRule xsi:type="basic:ANY" />
    </afp:AttributeRule>
</afp:AttributeFilterPolicy>


また、本機能で自動化されるのはフィルタ設定部分のみですので、SPに適切に属性を送信するためには、別途attribute-resolver.xmlで適切な属性値を生成する必要がある場合があります。(例えば、電子ジャーナルサービスでのeduPersonEntitlement属性の common-lib-terms)
本機能を使用していて一部のSPにつながらない場合は上記設定をご確認ください。

4. その他

現在、学認申請システムによって自動生成されるフィルタの構成は、以下のようになっています。

  1. transientId は無条件で全SPに送信
  2. チェックを入れたSP群のうち、そのメタデータに RequestedAttribute(AttributeConsumingService) が記載されていれば、その指定に従って送信。
    (SPを PolicyRequirementRule に列挙し、メタデータに従った PermitValueRule(xsi:type="uajpmf:AttributeUapprove" requestedOnly="true") で16属性列挙)
  3. チェックを入れた個々のSPについて、かつ上記にあてはまらない場合は、学認申請システムに登録された属性を列挙して、送信。
    (必須は xsi:type="basic:ANY" として、オプショナルは xsi:type="uajpmf:AttributeUapprove" として。
    これによりオプショナル属性は利用者にチェックボックスが提示される。)

また、a)のダウンロードの詳細な挙動は以下の通りです。

  1. 1時間に1回ダウンロードを試み、999回(約41日)連続して取得に失敗した場合は以降取得を試みなくなります。
    もちろん、取得に失敗しても前回成功したファイルが使用されますので直ちに使えなくなることはありませんが、新規に設定した属性送信が反映されません。


以上