運用フェデレーション学認申請システム利用マニュアル

元ファイル：https://office.gakunin.nii.ac.jp/ProdFed/manual.pdf

１．はじめに

本マニュアルでは、学認申請システムによる IdP/SP の新規申請および更新申請等の方法について説明しています。
参加機関が行うべき申請業務は、メタデータの更新要求も含めてすべて本システムから行います。

なお、本マニュアルは運用フェデレーションに対応するものであり、テストフェデレーションには対応しておりません。

２．学認申請システム利用のフロー

学認申請システムは、参加機関の IdP/SP の運用担当者が操作することを想定しています。役割は以下のようになります。

• 運用担当者……当該 IdP/SP の運用の実務を行う人。学認申請システムを操作して各種申請を行っていただきます。

  • 運用責任者……当該 IdP/SP の運用について責任を持つ人。IdP/SP 変更申請書・脱退申請書に押印を行っていただきます。また、学認申請システムの操作により、押印の代替とすることもできます。

  • 申請者……当該 IdP/SP の設置に関して承認する人。 IdP/SP 参加申請書(当該 IdP/SP に関する初回の申請)に押印を行っていただきます。

学認申請システムのユーザは、システムへログインするためのユーザアカウントを作成いただき、以降はそのユーザアカウントでログインしていただきます。ここでのユーザとは IdP/SP の運用担当者です。

最初、ユーザ(=運用担当者)はユーザアカウントを持っていない状態のため、初回の新規 IdP/SP 申請に先立ってユーザアカウントの作成を行っていただきます。

作成されたユーザアカウントでログインすることにより、新規 IdP/ SP 申請を行うことができるようになります。

この流れを図示すると次のスライドのようになります。

Open

３．アカウント登録方法

ここでは、ユーザ（=運用担当者）が、まだ学認申請システムへログインするためのアカウントをもっていない状態であるため、最初にアカウント登録の方法を説明いたします。

1. 学認申請システムトップページをブラウザで開いてください。

https://office.gakunin.nii.ac.jp/ProdFed/

Open

2. 「所属機関」プルダウンメニューから自機関の IdP を選択してください。

学認フェデレーションに参加している IdP のいずれにも ID をお持ちでない方は OpenIdP にて ID を取得の上、OpenIdP を選択してください。

Open

3. 当該 IdP に登録されているユーザID でログインすると、アカウント登録画面に遷移します。

各項目を入力した後、ページ下の [登録] ボタンを押してください。

Open

4. 「新規アカウント登録」の画面で登録した運用担当者のメールアドレス宛てにメールが送られます。

　到着したメール内容に従ってユーザ情報の登録を完了させてください。 これによりユーザアカウントが作成され、今後学認申請システムへのログインが可能となります。
　登録する際に利用した IdP から mail 属性を送信されており、これを登録に利用した場合はこの手順を行う必要はありません。次章へ進んでください。

Open

5. 以上で、アカウント登録に関する作業はすべて終了です。

　今後は、学認申請システムのトップページから IdP を選択の上、当該 IdP でログインしていただくと学認申請システムをご利用いただけるようになります。

４．IdP/SP の申請方法

ここでは、前章でユーザアカウント登録を行うことにより、ユーザアカウントを取得した後、学認申請システムで IdP の登録申請を行う手順について説明します。
SP 申請についても手順は同様です。適時読み替えてください。

1. ログイン

1. 学認申請システムトップページをブラウザで開いてください。

https://office.gakunin.nii.ac.jp/ProdFed/

Open

2. 「所属機関」プルダウンメニューからアカウント作成時に使用した IdP を選択してください。

3. 表示されたログインフォームに ID/Password を入力してください。

Open

2. 左側 Menu から「新規 IdP 申請」をクリックしてください。

　表示された申請フォームに記入してください。
　項目の詳細については 6章 を参照してください。
　運用責任者の欄の ePPN を記入いただくと、以後のお手続きにおいて、捺印された PDF を郵送いただく代りに、
　運用責任者様が画面上で確認のお手続きをいただけるようになります。
　必須項目をすべて入力した後、ページ下の[申請]ボタンを押してください。

Open

(中略)

Open

3. 申請した IdP の申請内容が事務局によりチェックされると、その旨の通知メールが運用担当者宛てに送られます。

Open

4. 学新申請システムにログインしてください。

5. 「取り扱い中の申請書一覧」から当該申請書 を選択してください。

Open

6. 申請情報上部に表示されている「申請書 pdf をダウンロード」リンクをクリックしてください。

Open

申請書 PDF ファイルがダウンロードされますので、ファイルを印刷し、「申請者役職」および「申請者氏名」欄に記入、捺印の上、事務局まで郵送してください。

【郵送先】
　〒101 - 8430 東京都千代田区一ツ橋 2-1-2
　　国立情報学研究所 学術基盤推進部 学術基盤課 認証担当

7. 運用責任者による確認あるいは、郵送された申請書が事務局へ到着後、メタデータの生成および登録が学認申請システムによって自動的に行われます。

　登録完了後、その旨のメールが運用担当者宛てに送られます。

Open

8. 以上で、新規 IdP 申請に関する作業はすべて終了です。

　その他のメニューの利用方法については次の 5章で説明します。

５．学認申請システムの利用方法

ここでは、学認申請システムの Menu の各項目について説明します。

1. アカウントの種別

学認申請システムを使用するアカウントには、以下の種別があり、それぞれに利用可能な機能が異なります。

運用担当者アカウント

3章で作成いただいたアカウントは基本的にすべてこの「運用担当者アカウント」です。
登録済みの IdP/SP の変更、脱退及び、新規の IdP/SP の申請などを行うことができます。

運用責任者アカウント

IdP/SP の申請書において「運用責任者」欄に記入したアカウントです。
申請時に ePPN を入力した場合にのみ利用可能になります。
運用責任者により入力された申請書を画面で確認いただき、申請書 PDF の印刷/捺印の代りとすることができます。

2. 運用担当者メニュー

1. 取り扱い中の申請書一覧

現在申請途中の申請書一覧を確認することができます。
各申請書を選択し、申請内容の確認、訂正、取り下げを行う事ができます。

Open

申請書詳細画面

Open

申請書下部のリンクから、申請内容の訂正、申請の取り消しが可能です。

申請内容の訂正については、「新規 IdP 申請」をご覧ください。
「以下の内容のエンティティメタデータを取得」ボタンでは申請内容に基く、当該エンティティのメタデータを、
証明書欄の「ダウンロード」ボタンでは同欄に設定された証明書をファイルとして取得することができます。

2. 承認済 IdP 一覧

すでに承認された IdP を確認することができます。

Open

「詳細」のリンクをクリックすると各 IdP の詳細ページに遷移します。

IdP 詳細表示ページ

Open

IdP 詳細表示ページ下部の「変更申請」および「脱退申請」リンクから変更申請および脱退申請を行うことができます。

変更申請については「新規 IdP 申請」と同様の操作になりますので、こちらもご覧ください。
また、変更申請時に限り、副運用担当者を設定することができます。

「変更申請」画面の運用担当者欄に表示される「追加/削除」ボタンから設定を開始します。

Open

Open

サブウィンドウで、ユーザ一覧が表示されます。
左の囲みに表示されているのが、現在設定されている運用担当者となります。
先頭に表示されているのが「主運用担当者」、それ以外が「副運用担当者」となります。
副運用担当者は最大3名まで設定することができます。
運用担当者は右の囲みのリストから選択する他、下部のフォームに、名前（姓、名）、ePPN、メールアドレスを入力することで、設定が可能です。
選択が完了しましたら、「完了」ボタンで終了します。

また、新規申請時にアンケートに回答いただいていない場合、画面上部に「アンケートに回答する」リンクが、
既に回答いただいている場合は、「アンケートを更新する」リンクが表示されます。適時ご回答いただけますようお願いいたします。

「利用可能な SP を選択する」リンクから、対応するSP を表明することができます。
「利用可能な SP を選択する」リンクをクリックすると、次の画面に遷移します。

Open

こちらの画面では、当該の IdP が利用可能な SP を設定することができます。

初期状態では、「全ての SP を許可する」にチェックが入っており、制限は設定されていない状態です。
制限を行いたい場合は、「全ての SP を許可する」のチェックを外した上で、許可したい SP の「接続許可」欄にチェックを入れて「登録」をクリックしてください。
SP のリストの見出し部をクリックすることで、リストを並びかえることもできます。

3. 承認済 SP 一覧

すでに承認された SP を確認することができます。
SP の詳細を表示したページ下部の「編集」および「廃止」リンクから変更申請および脱退申請を行うことができます。
「利用可能な IdP を選択する」リンクから、対応する IdP を表明することができます。
SP が対象となる他は、「承認済み IdP 一覧」と同様の操作になります。

4. 新規 IdP 申請

自身を運用担当者として新規 IdP の申請を行うことができます。

Open

「運用責任者」について、既存の運用責任者アカウントが存在する場合、プルダウンから選択することで入力を省略できます。
「運用担当者」については、現在ログインしている自身のアカウントが自動で選択されるため、入力の必要はありません。
「以下の内容のエンティティメタデータを取得」ボタンでは申請内容に基く、当該エンティティのメタデータをファイルとして取得することができます。
入力いただく、各項目の詳細については "5章 申請時に必要な情報について" を参照ください。

5. 新規 SP 申請

自身を運用担当者として新規 SP の申請を行うことができます。
その他、SP が対象となることを除き、「新規 IdP 申請」と同様の操作になります。
入力いただく、各項目の詳細については "5章 申請時に必要な情報について" を参照ください。

6. アカウント情報変更申請

アカウントの登録情報を変更することができます。
あなたのアカウント及び、あなたの管理する IdP/SP の運用責任者の情報を変更することができます。

Open

Open

アカウントの登録情報を変更することができます。以下の点にご注意ください。

• 運用担当者または運用責任者として登録されている IdP/SP のそれぞれについて情報が更新されます。

  • 通常の IdP/SP の変更申請と同様に、事務局の確認の後反映されます。

  • 運用責任者に ePPN を設定していない場合の運用責任者情報の更新は、こちらの画面ではなく、個別の IdP/SP の変更申請から行ってください。
    
    

7. マニュアル参照

本マニュアルを表示します。

8. ログアウト

システムの利用を終了し、トップ画面に戻ります。

3. 運用責任者メニュー

1. 取り扱い中の申請書一覧

現在申請途中の申請書一覧を確認することができます。
運用責任者による確認が求められている申請書を確認し、捺印した書面の送付にかえることができます。

Open

一覧に表示されている申請書をクリックすると、申請書詳細画面に遷移します。

2. 申請書詳細画面

Open

（中略）

Open

画面上部の「申請書 pdf をダウンロード」から申請書 PDF をダウンロードいただき、捺印の上郵送いただくか、画面下部の

「この申請書を確認済み状態にする」をクリックしていただくことで、当該の申請書を運用責任者にご確認いただいたという状態になり、申請の手続きが進行します。
この処理で申請書 PDF の郵送に代えることができるのは、

• IdP/SP の変更申請

• IdP/SP の脱退申請

• アカウント変更申請(影響を受ける全ての IdP/SP の運用責任者が同一の場合のみ)

です。

IdP/SP の新規申請及び、複数の運用責任者が関わるアカウント変更申請については、こちらで処理していただくことはできません。
申請書 PDF をダウンロードいただき、捺印の上郵送くださいますようお願いいたします。

3. 承認済IdP 一覧

すでに承認された IdP を確認することができます。
運用責任者アカウントでは、内容の確認のみが可能となります。

4. 承認済 SP 一覧

すでに承認された SP を確認することができます。
運用責任者アカウントでは、内容の確認のみが可能となります。

5. 運用担当者メニュー表示

通常運用責任者アカウントでは、申請書詳細表示画面からの「確認」の処理及び、承認済みの IdP/SP を参照することのみが可能となっております。
運用上、運用責任者アカウントで新規 IdP/SP の申請、既存の IdP/SP に対する変更申請などを行う必要が生じた場合は、こちらをクリックしてください。
一時的に運用担当者として、学認申請システムをご利用いただけるようになります。
この際に利用可能なメニューの詳細につきましては、前項 運用担当者メニュー を参照してください。

6. マニュアル参照

本マニュアルを表示します。

7. ログアウト

システムの利用を終了し、トップ画面に戻ります。

６．申請時に必要な情報について

申請書に記載していただく情報およびメタデータ生成に必要な情報について、以下に説明します。
申請を行う際に参照してください。

1. entityID

　IdP/SP の識別名称です。
　なお、この entityID は、フェデレーションで利用する個別の URI 形式の識別名称になりますので、ホスト部は各参加機関が所有し管理するドメイン名である必要があり、かつ、他の IdP/SP と重複することは許されませんのでご注意ください。学認では以下を標準としております。

　・IdP の例: https://idp.example.ac.jp/idp/shibboleth (下線部 はIdP のホスト名で置き換えてください)　

　・SP の例: https://sp.example.ac.jp/shibboleth-sp (下線部は SP のホスト名で置き換えてください)　

2. 機関名(日本語/英語)

　機関名称を日本語および英語表記で記入してください。
　IdP の場合、この日本語表記の機関名称は、属性"jao"(jaOrganizationName) の属性値として利用していただくものです。
　「〇〇大学法人」や「△△機関」等の頭書きを省略した形の機関名称のみを記載するようにしてください。
　また、英語表記に記載する機関名称は、属性"o"(organizationName)の属性値として利用していただくものですので、貴機関の正式な表記を記載するようにしてください。

　・入力例：フェデレーション大学 / The University of Federation

3. 機関内組織名(日本語/英語)(IdP 申請のみ)

　構築する IdP が全体(機関全体)を対象としていない場合、対象とする組織名称を入力してください。
　全額(機関全体)を対象とする場合は何も入力しないでください。

4. 運用開始日

　当該 IdP/SP を公式に運用開始する日付が決まっている場合はその日付を入力してください。そうでなければ(新規申請を)入力した日付を入力してください。
　右側にあるカレンダーアイコンを使うと視覚的に入力できます。[今日]というボタンもありますので便利です。

　・入力例：2011-01-01

5. 対象とする ID 基盤の構成員(IdP 申請のみ)

　申請する IdP で認証を行う対象の方についてその内容をご記入ください。
　なお、フェデレーションポリシーの作成時の統計情報として利用させていただきたいため、対象者の概要については可能な限り詳細にご記入ください。

　・入力例：工学部の構成員(教職員および学生)を対象とする。

6. 対象 ID(概数)(IdP 申請のみ)

　申請する IdP で認証する対象となる ID の概数を入力してください。

　・入力例：2000

7. 運用責任者

　実施要領第8条に規定される、その IdP/SP の運用に責任を持つ方の情報を入力してください。
　運用責任者は当該期間の教職員でお願いします。　
　運用責任者情報には以下の項目があります。

1. 名前(姓、名)(それぞれについて漢字、よみ)

　漢字で表す名前が存在しない場合も、「(漢字)」欄にアルファベット等通常名前を表記するのに使用する文字を用いて入力してください。
　入力例：情報 花子 / じょうほう はなこ

2. 所属

　入力例：情報センター

3. 職名

　入力例：准教授

4. メールアドレス

　入力例：hanako@example.ac.jp

5. ePPN

　本項目は任意です。運用責任者が本システムを利用する場合に入力してください。
　オンラインで申請内容を確認してもらうことで、今後の変更申請の際に紙の押印済み変更申請書を郵送する必要がなくなります。

6. 電話番号

　運用責任者と連絡が取れる電話番号を入力してください。
　入力例：03-4212-XXXX

7. 郵便番号・住所

　運用責任者が所属する機関の住所を入力してください。
　機関の住所が複数ある場合は主に勤務する住所を入力してください。

　入力例：101-0003
　東京都千代田区一ツ橋 2-1-2

8. 運用担当者(利用中のアカウントの情報が自動入力されます)

　運用担当者は運用の実務を行う方で、本システムを操作いただく人ご本人になります。
　運用担当者情報には以下の項目があります。

1. 名前(姓、名)(それぞれについて漢字、よみ)

　運用責任者と同様、運用担当者の氏名を入力してください。
　入力例：国情 一郎 / こくじょう いちろう

2. 所属

　入力例：情報センター

3. 職名

　入力例：技術職員

4. メールアドレス

　当該運用担当者個人を識別できる個人的なメールアドレスを入力してください。なおこの情報は公開されません。
　ここで入力いただいたメールアドレスは、学術認証フェデレーション情報交換メーリングリストにも登録させていただきますのでご了承ください。
　入力例：kokujo@example.ac.jp

5. ePPN

　本システムにおける ID として利用されます。
　すでに所属機関で IdP が運用されている場合は、運用担当者のフェデレーションにおける ID である「ePPN(eduPersonPrincipalName)」を入力してください。
　形式はメールアドレスと似ていますが同一では無い場合がありますのでご注意ください。詳細は所属機関の IdP 管理者にご相談いただくか、ご本人が以下の送信属性確認 Web サイトにアクセスすることによって確認可能です。

　https://attrviewer20.gakunin.nii.ac.jp/

　機関で運用中の IdP が存在しない場合は OpenIdP(https://openidp.nii.ac.jp) でアカウントを取得の上申請を行ってください。

6. 電話番号

　運用担当者と連絡が取れる電話番号を入力してください。
　入力例：03-4212-YYYY

7. 郵便番号・住所

　運用担当者が所属する機関の住所を入力してください。
　機関の住所が複数ある場合は主に勤務する住所を入力してください。

　入力例：101-0003
　東京都千代田区一ツ橋 2-1-2

9. メタデータ情報

1. 地域(IdP 申請、変更時のみ)

　IdP の設置されている地域を選択します。
　DS での表示の際のグループ化などに使用されます。
　新規申請時は、所在地(運用責任者の住所)を元に推定されます。

2. スコープ(IdP 申請のみ)

　運用する IdP のドメインを入力してください。通常全学的に運用する IdP の場合はその機関に割り当てられた(サブドメインでない)ドメインを用います。
　スコープ規則のある属性(ePPN, eduPersonScopedAffiliation) はここで宣言したスコープとともに送信されなければなりません。

　入力例：example.ac.jp

3. 属性情報(SP 申請のみ)

　プルダウンから、SP が受け付ける属性を選択して「追加」ボタンをクリックしてください。
　各属性について、「必須/選択」の別および、「用途」を記述することができます。これらの情報はメタデータに出力されます。
　eduPersonAffiliation, eduPersonScopedAffiliation , eduPersonEntitlement について「属性値の範囲」を記述することができますが、
　これらはヒント情報として扱われるもので、拘束力を持つものではありません。

　学認で利用可能な属性の詳細については次のURL をご参照ください。

　https://www.gakunin.jp/docs/fed/technical/attribute

　入力例：organizationName, jaOrganizationName 

4. サービス内容(SP 申請のみ)　

　提供いただけるサービスの内容について、プロジェクトホームページ学認サイトもしくは各 IdP にて利用者の方へご紹介させていただきたいと考えています。
　その際に、ご紹介させていただく内容についてご記入ください。100 文字を超えない程度でお願いします。

　入力例：テレビ会議システム予約システムの運用

5. 証明書

　IdP/SP が使用する自身の証明書(複数使用している場合は SAML 署名および暗号化に使用する証明書)を入力してください。

6. DS からのリターンURL(SP 申請のみ)

　DSからの戻り先となる URL を入力してください。

　入力例：https://sp.example.ac.jp/Shibboleth.sso/DS

7. IdP/SP 名称

　他の IdP/SP と区別できる文字列を入力してください。
　メタデータには、OrganizationDisplayName として出力されます。

8. IdP/SP 情報 URL

　本項目は任意です。メタデータ中の InformationURL として記載されます。

9. プライバシーステートメント URL

　本項目は任意です。メタデータ中のPrivavyStatementURL として記載されます。

10. ロゴ画像 URL
　本項目は任意です。IdP/SP のロゴ画像をURL で指定してください。

11. 機関情報URL 
　機関が提供しているウェブサイトの URL を入力してください。

12. IP アドレス情報
　本項目は任意です。機関が所有する IP アドレスレンジを入力してください。

　入力例：192.168.1.0/24

　複数ある場合は改行区切りで列挙してください。

13. ドメイン 
　本項目は任意です。情報機関が所有するドメインを入力してください。

　入力例：example.ac.jp

　複数ある場合は改行区切りで列挙してください。

14. 緯度経度情報
　本項目は任意です。機関の位置を緯度経度で表します。

　入力例：geo:47.37328,8.531126

15. 連絡先
　メタデータ中の contactPerson として記載され公開されますので、個人情報は避けるようご注意ください。

10. その他

1. 一覧に表示する

　フェデレーションの参加機関一覧に当該 IdP/SP を掲載するかどうかを選択してください。
　SP のみ同一 entityId で複数のサービス名を表示することができます。(最大2つ)

2. サービス名(SP のみ)

　フェデレーションの参加機関一覧に表示するサービス名を入力してください。
　未入力時はメタデータ情報の SP 名称が表示されます。

3. サービス URL(SP のみ)

　フェデレーションの参加機関一覧に表示するサービスへのリンク先 URL を入力してください。
　未入力時はメタデータ情報の SP 情報 URL が使用されます。

4. IdP 管理者向けマニュアル(SPのみ)

　フェデレーションの参加機関一覧ページに表示する、IdP 管理者向けの情報を記述してください。
　本システムにテキストを登録して一覧ページ内に表示するか、外部に用意したページへのリンクを表示するかを選択することができます。

5. 図書館向けマニュアル(SP のみ)

　フェデレーションの参加機関一覧ページに表示する、図書館向けの情報を記述してください。
　本システムにテキストを登録して一覧ページ内に表示するか、外部に用意したページへのリンクを表示するかを選択することができます。

6. 利用者向けマニュアル(SPのみ)

　フェデレーションの参加機関一覧ページに表示する、利用者向けの情報を記述してください。
　本システムにテキストを登録して一覧ページ内に表示するか、外部に用意したページへのリンクを表示するかを選択することができます。

7. その他マニュアル(SP のみ)

　フェデレーションの参加機関一覧ページにおいて、前出以外の対象に向けた案内を表示したい情報があれば記述してください。
　「タイトル」に具体的な対象を記述いただくと、実際の一覧ページにおいてリンクのタイトルとして表示されます。

8. 属性情報追記(SP のみ)

　フェデレーションの参加機関一覧ページでは、メタデータに設定された情報を元に SP が要求する属性情報を表示します。
　メタデータから読み取れない要求仕様がある場合はこちらに記述してください。一覧ページにはこの項目に入力いただいた内容のみが表示されるようになります。

9. 利用契約(SP のみ)

　当該 SP の利用にあたって、学認フェデレーションへの参加の他に個別での利用契約が必要な場合にチェックをいれてください。
　フェデレーションの参加機関一覧ページに別途利用契約が必要である旨の表示がされます。

10. eduGAIN
　eduGAIN に参加する場合にチェックを入れてください。
　eduGAIN 向けのメタデータに当該の IdP/SP が含まれるようになります。