利用方法
1.利用申請
本システムの利用を希望される機関の管理者の方は、eduroam JP申請システムより利用申請をお願いします。 なお、認証連携IDサービスにおいて申請機関からのアクセスを許可する手続きの都合上、先に機関IdPにおいて属性情報送信の設定をして頂き、その後一度、実際にアクセスしておいて頂けますと(所属機関では現在アカウント発行機能が利用できない旨のメッセージが出ますが)助かります。(eduPersonTargetedIDが送られてきていない旨のメッセージが出る場合は、IdP側の設定ができていないことを示します。)
なお、設定の初期値は以下の通りです。必要に応じて変更をお願いします。
- 学生によるアカウント発行不可
- 教職員によるビジター向けアカウント発行不可(発行可能最大数が1週間・1か月とも0)
2. IdPが送信するべき属性
認証連携IDサービス(entityID: https://federated-id.eduroam.jp/shibboleth-sp )では以下の属性を利用しますので、IdPから送信するように設定をお願いします。
属性 | 用途 |
---|---|
o (organization) | 機関を識別するため。(必須) |
eduPersonTargetedID | 利用者を識別するため。(必須) |
eduPersonAffiliation | 教職員・学生を識別したID発行のため。(選択) |
eduPersonEntitlement | 機関管理者権限の確認。(選択) |
eduPersonTargetedID: 個人識別のための属性として必須となります。なお、eduroam 利用者に対するインシデントが発生した場合、eduPersonTargetedID に基づいて利用者を特定して頂くことになりますので対応関係の記録などのご配慮をお願い いたします。
eduPersonAffiliation: 教職員(faculty/staff)と学生(student)の識別に利用します。学生については、ビジターアカウントの発行ができません。また、機関管理者からの操作による、年度更新確認の対象となります。属性値はシステム内には記憶されず、ログインするたびに参照され、その属性値に従った制限が適用されます。
eduPersonEntitlement: 機関管理者の識別に利用します。機関管理者としてアク セスする人に対して、IdP にて次の値を設定してください: urn:mace:gakunin.jp:entitlement:federated-id.eduroam.jp:site-admin
2.1 IdPへの設定例
学認参加IdPへの設定例は以下のとおりです。
--------attribute-resolver.xmlに追加-------------- <AttributeDefinition xsi:type="ad:Simple" id="eduPersonEntitlementForEduroamFedID" sourceAttributeID="eduPersonEntitlement"> <Dependency ref="mappedAffiliation" /> <AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:eduPersonEntitlement" encodeType="false" /> <AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" encodeType="false" /> </AttributeDefinition> <AttributeDefinition id="mappedAffiliation" xsi:type="Mapped" xmlns ="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="uid"> <Dependency ref="myLDAP" /> <ValueMap> <ReturnValue>urn:mace:gakunin.jp:entitlement:federated-id.eduroam.jp:site-admin</ReturnValue> <SourceValue>ID1</SourceValue> <SourceValue>ID2</SourceValue> <SourceValue>ID3</SourceValue> </ValueMap> </AttributeDefinition> --------attribute-filter.xmlに追加-------------- <!-- Policy for Eduroam FederatedID --> <AttributeFilterPolicy id="PolicyforEduroamFederatedId"> <PolicyRequirementRule xsi:type="Requester" value="https://federated-id.eduroam.jp/shibboleth-sp" /> <AttributeRule attributeID="eduPersonTargetedID"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> <AttributeRule attributeID="organizationName"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> <AttributeRule attributeID="eduPersonAffiliation"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> <AttributeRule attributeID="eduPersonEntitlementForEduroamFedID"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy>
ID1, ID2, ID3には機関管理者としてedurPersonEntitlementを送信するユーザのIDを必要な人数分だけ記入してください。
3. 機関管理者ログイン
本サービスサイトからログインを行うと まず学術認証フェデレーションの認証が要求されます。 認証が成功すると、メニューが表示されます。管理者としてログインした場合は、以下の「管理者機能」のメニューが追加されます。
- 所属機関の発行アカウント状況確認機能
- 所属機関の学生アカウント発行可否設定機能
- 所属機関の学生アカウント継続確認機能
3.1. 所属機関の発行アカウント状況確認機能
所属機関の利用者が発行したアカウントの一覧の確認と失効ができます。覧はアカウントの発行者ごとに表示され、発行者はeduPersonTargetedIDで区別されます。
(有効期限が切れているアカウントは、すでに無効となっているため、失効できません。)
アカウントの失効情報は。一日に一回、認証サーバと同期を行いますが、すぐに失効情報を反映したい場合は「失効反映」をクリックしてください。
3.2. 所属機関の学生アカウント発行可否設定機能
利用者が学生(eduPersonAffiliationがstudent)の場合の、アカウント発行可否を切り替えます。
3.3. 所属機関の学生アカウント継続確認機能
学生に対して、年度ごとの継続確認を行う場合に利用します。継続確認開始日と終了日を指定すると、その間、学生がログインした場合に、継続確認が行われます。継続確認期間は翌日以降で指定します。学生の利用者が継続確認期間中にログインすると、その時点で有効なeduroamのアカウントがある場合に、継続確認のメッセージが表示されます。継続確認期間終了後に、確認がなされなかった学生利用者が発行したアカウントについて、一斉失効が行われます。
注意事項
管理者としてログインするためには、eduPersonEntitlement属性を適切に設定する必要があります。管理者としてログインするためのNIIへの申請等は必要ありません。