IdP, SPの構築に関する講習会を行っております。詳しくは、イベントガイドをご覧ください。
※この技術ガイドは、講習会(実習セミナー)のテキストも兼ねています。
実習セミナー
- OSへのログインなど、全ての作業をrootユーザにて行っていますが、実習セミナーの時間短縮の為であり、実作業では推奨致しません。
- 実習セミナーの構築手順について
IdP構築は★印で、SP構築は★印を付けています。目印に作業を進めてください。
まず、構築手順前の事前準備を行います。
→「実習セミナー環境について(シンクライアント環境は、こちら)」を参照してください。
更新情報
※ 技術ガイド外のページも一部含まれます
属性
学術認証フェデレーションで利用を推奨する属性のリストを提供します。 以下は、SPを構築した際に受信した属性を表示するためのサンプルスクリプトです。 なお、運用フェデレーションでのIdPの送信属性確認には、学認技術運用基準の9.2に記載されております「属性表示サービス」をご利用ください。attrviewer20, attrviewer13
このプログラムはApache上で動作することを前提としたものです。
⇒GakuNinShare:設定・運用・カスタマイズ#Apache以外の環境で属性値を取得する方法$checkScopedAttribute
フラグにてスコープのチェック機能を持ちますが、通常は不要です。有効化する場合はコメントの指示に従ってShibboleth SPの設定を行った後、慎重に行ってください。
テストフェデレーションでの接続試験に関しては、テストフェデレーションルールに記載されております。test-sp1, test-sp2, test-sp3
⇒テストフェデレーションルール
メタデータ
学認が提供するメタデータ(フェデレーションメタデータ)は新規IdP/新規SPの追加や、既存IdP/既存SPの証明書の更新等により、常に更新されます。そのため、定期的にリポジトリから最新のメタデータをダウンロードしてIdP/SPのメタデータを更新してください。 2017年11月17日から署名証明書の変更に伴いメタデータURLも変更になっております。詳細はメタデータ署名検証用証明書(署名証明書)を参照してください。 テストフェデレーションのメタデータについてはテストフェデレーションルールを参照してください。 ⇒テストフェデレーションルール (*) - 自組織のIdP/SPのメタデータの更新について、特に、使用証明書の更新については途切れることなくサービスを提供するためには注意が必要です。それぞれのページにてご確認ください。 ※ IdP/SP個々のメタデータ(エンティティメタデータ)の内容については次のテンプレートの項をご参照ください。
また、使用証明書の更新等、自分の管理するIdP/SPのメタデータに変更があった場合は、学認申請システムより変更申請を行って下さい(*)。
IdPの証明書更新 / SPの証明書更新
テンプレート
学認では属性設定とメタデータのテンプレートを提供しています。下記をクリックして必要なテンプレートをダウンロードしてご利用ください。ご利用方法は、上記のIdP,SP構築方法をご参照ください。メタデータに関しましては、学認申請システムにて自動生成されますので、本テンプレートは補助的な目的でご利用ください。 Shibboleth IdP 4.2.x 向けに attribute-resolver.xml のテンプレートを公開しました。 LDAP DataConnectorにて 以前のテンプレートからの更新で、かつプロパティ Shibboleth IdP 4で利用するためのテンプレートです。 以下の通りV4の新機能と整合性を取るため属性名の見直しを行いましたので、他の設定とマージを行う場合はご注意ください。なお、新属性名は学認技術運用基準で規定される属性の「friendlyName」に記載されているものです。旧属性名は同規程の「名称」に記載されているものでした。 また今回のLDAP Connectorから、V4の新機能であるAttribute Registryを使ってLDAP DataConnectorのexportAttributesに指定することでLDAPの値を直接送出するようになっています。単純なSimple AttributeDefinitionが削減可能です。詳細はファイル中のコメントを参照してください。 またeduPersonTargetedIDの設定について、以前のテンプレートではソース属性の存在(AttributeDefinitionを定義しているかどうか)によってコメントアウトを解除するかどうかで切り替えていたものが、今回の版からソース属性のタイプによってInputAttributeDefinitionにするかInputDataConnectorにするかを切り替える形に変更になっています。詳細は該当部分のコメントを参照してください。 Shibboleth SP 3.4.x 向けテンプレート - 3.4.1 の配布物をベースとして再作成しました。(フラット化されております) Shibboleth SP 3.0.x向けテンプレート - 3.0の配布物をベースとして再作成しました。 学認技術運用基準(v2.2)に新たに追加された属性 eduPersonAssurance, eduPersonUniqueId, eduPersonOrcid を追加しました。 一部のja属性に欠けていたcaseSensitive設定を付与しました。Apacheのrequire構文等で大文字小文字が区別されなくなります。 配布している属性設定テンプレートのファイル名と最新バージョンの対応は以下の通りです。Shibboleth IdP/SPのバージョンとは対応しておりませんのでご注意ください。
利用方法はIdP設定の attribute-resolver.xml / attribute-filter.xml をご参照ください。※ 現在提供している学認テンプレート(V4)はShibboleth IdPバージョン5でも問題なく使用できます。
更新情報2023年8月24日(4.2.0)
更新情報2021年10月22日(4.1.0)
更新情報2021年7月19日(4.0.1)
exportAttributes=""
(空文字列)という形でテンプレートを公開しておりました(コメントに記述しておりますようにLDAPから直接送出したい属性を列挙するものです)が、未修正のまま実行すると以下のような意味不明なエラーになってしまうため、ダミーの属性名を入れております。ご利用の際はダミーを取り除いて正しい属性名で置き換えて(もしくは不要な場合は exportAttributes="..."
の部分自体を削除して)ください。net.shibboleth.utilities.java.support.service.ServiceException: org.springframework.beans.factory.xml.XmlBeanDefinitionStoreException: Line NNN in XML document from file [/opt/shibboleth-idp/conf/attribute-resolver.xml] is invalid; nested exception is org.xml.sax.SAXParseException; lineNumber: NNN; columnNumber: NN; cvc-minLength-valid: 長さが'0'である値''は、タイプ'string'のminLength '1'に対してファセットが有効ではありません。
更新情報2020年8月11日(4.0.0)
idp.pool.LDAP.failFastInitialize
をtrueにして使ってる場合はテンプレートを最新版に切り替えたタイミングで起動時LDAPに接続できなかった場合の挙動が変わる可能性があります(当該プロパティを参照しなくなったため)。IdP起動時にLDAPに接続できなければエラーにする(デフォルトの挙動ではありません)場合はLDAP Connectorに failFastInitialize="true"
を追加してください。3.4.0まで 4.0.0以降 organizationName o organizationalUnitName ou surname sn jaOrganizationName jao jaOrganizationalUnitName jaou jaSurname jasn
このファイルについて詳しくは、SPカスタマイズの属性の追加方法をご覧ください。
⇒属性の追加方法
gakuninScopedPersonalUniqueCodeのScopingRulesを追加しています。その他、IdPから渡された属性をフィルタしてアプリケーションに渡す場合には適宜設定を追加してください。更新情報2023年8月24日(3.4.0)
更新情報2019年7月18日(3.3.0)
特にattribute-map-template.xmlについては、targeted-idの削除、unscoped-affiliationのコメントアウト、eppnへの caseSensitive="false" の指定の追加などが行われております。
unscoped-affiliation(eduPersonAffiliation)のコメントアウトはShibboleth開発元の使うべきでないという意向に合わせたものです。引き続きこれを使う必要がある場合は有効化してお使いください。関連課題更新情報2018年8月23日(3.2.2)
ファイル名 最新バージョン ベースとなるShibboleth IdP/SPバージョン attribute-resolver-template.xml
4.2.0 4.2.1 attribute-filter-template-prodfed.xml
4.0.0 4.0.1 attribute-filter-template-testfed.xml
4.0.0 4.0.1 gakunin-rules.tar.gz
4.0.0 4.0.1 attribute-map-template.xml
3.3.0 3.0.4 attribute-policy-template.xml
3.4.0 3.4.1
開発ツール
学術認証フェデレーションで開発したツールを提供公開しています。 以下のツールはShibboleth IdPバージョン2向けです。