AES-GCMテストIdPシステム利用マニュアル

AES-GCMテストIdPについて

AES-GCMテストIdPは、テストフェデレーション参加SPに対してShibboleth IdP V4にてデフォルトとなったAES-GCM暗号アルゴリズムで暗号化したSAMLアサーションを送信するテストIdPです。

また、AES-GCMテストIdPにはTiqrShibプラグインがインストールされており、TiqrShib認証が利用できます。

さらに、中規模実験向けにIAL2/AAL2を送出しています。

1. test001等のIDがありテスト目的で自由に利用できます。他の利用者により登録が上書きされている場合がありますので適宜再設定してご利用ください。

2. tiqrで認証した場合AAL2で認証できたとしております。

3. IDの番号の奇数番はIAL2が付与されており、偶数番には付与されていません。

4. IAL2を受信することを希望するSPについては、テストフェデレーション学認申請システムにて受信する属性情報に eduPersonAssurance を追加してください。（AAL2については学認申請システムにおける属性追加等不要ですので、認証要求のAuthnContextClassRefにて要求を行えば結果が取得できます）

5. その他SPにおけるAAL2の要求方法、IAL2/AAL2の受信方法など技術的詳細は次のページをご参照ください。
   ⇒https://nii-auth.atlassian.net/wiki/x/lISlAg

利用方法

AES-GCMテストIdPを利用するには事前にテストフェデレーションに参加する必要があります。テストフェデレーションの参加方法はテストフェデレーション参加手続きを参照してください。

1. 最初に管理しているSPにアクセスして、ログインを開始してください。

   図1: SPの画面

2. DSでIdPとして「GakuNin テスト IdP 2 (AES-GCM, IAL2/AAL2)」を選択します。

   図2: DSの画面

3. IdPのログイン画面でユーザ名とパスワードを入力してください。

   図3: IdPのログイン画面

   AES-GCMテストIdPでは下記アカウントが利用できます。

4. 送信属性同意画面に遷移しますので、属性送信に同意してください。

   図4: IdPの送信属性同意画面

5. SPがAES-GCM暗号アルゴリズムをサポートしていれば、SPのログインに成功します。

   図5: ログイン後のSP画面

TiqrShibの利用方法

1. SPのApache HTTP Server設定に、認証をTiqrShibに制限したいLocationに下記の設定を追加してください(設定例では/shibtiqr_protected)。

   <Location /shibtiqr_protected> AuthType shibboleth ShibRequestSetting requireSession 1 ShibRequestSetting authnContextClassRef urn:oasis:names:tc:SAML:2.0:ac:classes:MobileTwoFactorUnregistered Require valid-user </Location>

2. AES-GCMテストIdPの https://test-idp2.gakunin.nii.ac.jp/tiqr/shib/enroll にアクセスして使用するスマートフォンを登録してください。登録方法はTiqrShibのHow To UseのEnrollment Proccessを参照してください。

   図6: TiqrShibの登録画面

3. SPのTiqrShib認証に制限したLocationにアクセスしてログインを開始してださい。

4. DSからIdPとして「GakuNin テスト IdP 2 (AES-GCM)」を選択します。

5. TiqrShibでのログイン画面に遷移しますので、登録したスマートフォンでログインしてください。ログイン方法はTiqrShibのHow To UseのLogin Proccessを参照してください。

   図7: TiqrShibのログイン画面

TiqrShibの詳細は、TiqrShibプラグインを参照してください。