学認クラウドゲートウェイサービス連携のための情報
- 1 IdP管理者に必要な情報
- 1.1 API
- 2 SP管理者に必要な情報
- 2.1 API
- 2.2 SP連携のトラブルシューティング
IdP管理者に必要な情報
学認参加IdPが学認クラウドゲートウェイサービスを利用するためには以下の手順に従って設定を行ってください。
学認クラウドゲートウェイサービス (entityID: https://cg.gakunin.jp/shibboleth-sp ) に対して以下の属性を送信するようにしてください。
属性名 | 必須 / 任意 | 備考 |
|---|---|---|
ePPN (eduPersonPrincipalName) | 必須 | |
eduPersonTargetedID | 任意 | |
jao | 任意 | アカウント登録時のユーザ情報「所属(日)」の初期値として使われます。 |
o | 任意 | アカウント登録時のユーザ情報「所属(英)」の初期値として使われます。 |
jaDisplayName | 任意 | アカウント登録時のユーザ情報「氏名(日)」の初期値として使われます。 |
displayName | 任意 | アカウント登録時のユーザ情報「氏名(英)」の初期値として使われます。 |
任意 | アカウント登録時のユーザ情報「メールアドレス」の初期値として使われます。 | |
eduPersonAffiliation | 任意 |
eduPersonAffiliationは、faculty/staffであれば当該利用者が管理者となっているグループのメンバーに対する招待なし入会・属性送信同意のオプションが加わります。詳しくはお問い合わせください。
学認クラウドゲートウェイサービスへの属性送信の設定例は以下を参照してください。設定例となっていますので、所属機関IdPで送信可能な属性へ変更してご利用ください。
<!-- Policy for GakuNin Cloud Gateway Service -->
<AttributeFilterPolicy id="PolicyforGakuNinCloudGatewayService">
<PolicyRequirementRule xsi:type="Requester" value="https://cg.gakunin.jp/shibboleth-sp" />
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="jao">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="jaOrganizationName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="o">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="organizationName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="jaDisplayName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="displayName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>本設定例は学認テンプレートv4およびv3両対応です。
お使いのattribute-resolver.xmlでの定義に応じて attributeID="jao" もしくは attributeID="jaOrganizationName" 、attributeID="o" もしくは attributeID="organizationName" の必要なほうを残してください。
そして、学認クラウドゲートウェイサービスと連携しているサービス(SP)に対しても、必要な属性を送信していないとIdPの利用者は当該サービスが利用できませんのでご注意ください。
API
連携するIdPが利用できる、ゲートウェイトップ画面で表示される利用可能サービスの情報を取得するためのAPIを以下に示します。
⇒API(IdP)
SP管理者に必要な情報
SP管理者が提供しているサービスを学認クラウドゲートウェイサービスと連携させるためには以下の手順に従って設定を行ってください。
以下の手順でisMemberOf属性を取得するためにはあらかじめIdPからeduPersonPrincipalName(ePPN)を取得していなければなりません。
グループメンバー情報を取得できるようにする
以下のようにShibboleth SPの設定ファイルを変更してください。動作確認は Shibboleth SP 2.6 で行っています。学認クラウドゲートウェイサービス (IdP)のメタデータを次のリンクから取得して /etc/shibboleth/metadata/ に保存してください。
cgidp-metadata.xmlshibboleth2.xmlの編集
/etc/shibboleth/shibboleth2.xml を編集します。学認クラウドゲートウェイサービス (IdP)メタデータの読み込み
a.でダウンロードしたメタデータを読み込むように設定します。他の<MetadataProvider>の後に下記を追加してください。<MetadataProvider type="XML" path="/etc/shibboleth/metadata/cgidp-metadata.xml"/>SimpleAggregationの追加
通常の認証フローの後にeppnを手がかりとして学認クラウドゲートウェイサービス (IdP)からisMemberOf属性を取得するよう、SimpleAggregation設定を行います。
既存の<AttributeExtractor>~<AttributeFilter>までの間に以下の記述を追加します。<AttributeResolver type="SimpleAggregation" attributeId="eppn" format="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"> <Entity>https://cg.gakunin.jp/idp/shibboleth</Entity> <saml2:Attribute xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" Name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="isMemberOf"/> </AttributeResolver>
attribute-map.xmlの編集
/etc/shibboleth/attribute-map.xmlにてisMemberOf属性の設定を確認します。
以下の記述がない場合、最終行の</Attributes>の直前に追加してください。<Attribute name="urn:oid:1.3.6.1.4.1.5923.1.5.1.1" id="isMemberOf"/>attribute-policy.xmlの編集
他のIdPからのisMemberOf属性を拒否し、学認クラウドゲートウェイサービスからのisMemberOfのみを利用する設定を行ないます。の直前に以下の記述を追加してください。
<AttributeRule attributeID="isMemberOf" xmlns="urn:mace:shibboleth:2.0:afp"> <PermitValueRule xsi:type="Issuer" value="https://cg.gakunin.jp/idp/shibboleth"/> </AttributeRule>.
取得したisMemberOf属性を利用するようにサービスを変更する
例えば、isMemberOf属性には下記のような値が入ります。全てURI形式です。後者2つは、SPコネクタの設定で「グループ情報も取得する」を選択した場合のみ取得できます。
SPに対応するSPコネクタを作成する
グループの接続先となるSPコネクタを作成します。グループが当該SPコネクタに接続した場合のみSPはそのグループに関する情報を取得できます。SPコネクタ作成の詳細は、mAP利用マニュアルの「SPコネクタを作成する」の章をご参照ください。
.