SeciossLinkを使った学認参加
schedule 2020/04/24 refresh 2023/11/08
1.はじめに
今回は、教育機関の関係者は耳にしたことがあると思う「学術認証フェデレーション」へ
SeciossLinkを使って参加しよう!と言った内容になります。
テストフェデレーションのテストSPに属性値を送信するところまでを紹介します。
※SeciossLinkにトライアルなどのテナントを持っている事が前提となった説明です。
※各設定の詳細は、説明内に記載されているURL先を参照してください。
※ブログ内の説明は、内容を絞った形で行っています。
2.学認へ申請
学認申請システム(テストFed)にログインして、SeciossLinkのメタデータを登録しましょう。
SeciossLinkのメタデータ取得
メタデータのダウンロード
SeciossLinkの管理画面にログインします。
次にメニューの[システム]-[テナント情報]を選択し、テナント情報画面を開きます。
IdPメタデータのダウンロードボタンをクリックして、メタデータを取得します。
メタデータの編集
学認向けにここで説明する情報を追加してください。学認DSに表示される名前となるので、追加しなくてはメタデータからの登録が行えません。
①<shibmd:Scope ~の行の下に以下を追加します。
<mdui:UIInfo xmlns:mdui="urn:oasis:names:tc:SAML:metadata:ui">
<mdui:DisplayName xml:lang="en">機関名などIdP名(英)</mdui:DisplayName>
<mdui:DisplayName xml:lang="ja">機関名などIdP名(日)</mdui:DisplayName></mdui:UIInfo>
②</IDPSSODescriptor>の下(最後から二行目)に以下を追加します。
<Organization>
<OrganizationName xml:lang="en">機関名(英)</OrganizationName>
<OrganizationName xml:lang="ja">機関名(日)</OrganizationName>
<OrganizationDisplayName xml:lang="en">機関名などIdP名(英)</OrganizationDisplayName>
<OrganizationDisplayName xml:lang="ja">機関名などIdP名(日)</OrganizationDisplayName>
<OrganizationURL xml:lang="en">ホームページなど</OrganizationURL>
</Organization>
<ContactPerson contactType="technical">
<SurName>管理者名</SurName>
<EmailAddress>mailto:管理者メールアドレス</EmailAddress>
</ContactPerson>
情報を追加したら、保存してください。※utf8で保存されていること。
学認申請システム(テストFed)にログイン
既に学認参加済みの教育機関であれば、該当する教育機関を選択してログインできますが、なければOpenIdPを選択してログイン画面から新規登録でアカウントを作成します。作成後、そのアカウントでログインすることが出来ます。
詳しくは、学認サイトの以下を参照してください。
→ https://www.gakunin.jp/join/test
SeciossLinkは、IdPとなるので「新規IdP申請」より申請します。
詳細は、先ほど記載した学認サイトを参考にして欲しいのですが、申請画面の最後の項目にある「テンプレート外メタデータ」より取得したSeciossLinkのメタデータをアップロードして申請します。
申請後、承認されるには数日かかると考えておいた方が良いかもしれません。
※早ければ当日に処理してもらえることもあります。
3.SP登録
SeciossLinkの管理画面を使って、テストフェデレーション内にあるtest-sp1を追加しましょう。
対象SPの連携情報を作成
メニューの[シングルサインオン]-[SAMLサービスプロバイダー]を選択し、一覧画面を開きます。
次に画面右上の登録タブを選択して、登録画面を開きます。
今回はテストフェデレーション内のtest-sp1を登録するので以下のentityIDを設定します。
→ https://test-sp1.gakunin.nii.ac.jp/shibboleth-sp
送信属性の設定
設定する内容については、SeciossLinkのマニュアルを参照してもらい、ここでは学認向けに送信属性の属性名を変更する必要があるのでサンプルとして設定例を載せておきます。
以下は、SeciossLinkで管理されている情報の送信設定です。学認では属性名をoid形式と言ったものになっています。(「urn:oid:~」と言った値のもの)
また、以下は機関名の様なユーザに紐づいた情報ではない固定値を送信設定したものです。
学認で使われている属性のうち機関名など設定したサンプルです。
※学認の属性名については、学認サイトの以下と参照してください
→ https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158166
※本番である運用フェデレーション内の正式なSPを追加する場合は、予めSeciossLinkの方でテンプレートが用意されているので、容易に登録することが可能です。
4.動作確認
確認を行う前に登録したtest-sp1にアクセスできるユーザや認証ルールなどSeciossLink側の設定で問題ないか確認しておいてください。
例えば、確認に使うユーザにtest-sp1が割り当たってなければ確認が行えません。
それでは、test-sp1(https://test-sp1.gakunin.nii.ac.jp)にアクセスして確認してみましょう。
アクセスするとトップ画面が表示されるので、接続テストのボタンをクリックします。
次にテストフェデレーションの学認DS画面が表示されるので、メタデータに記載した機関のIdP名を選び選択ボタンをクリックします。
SeciossLinkの認証画面が表示され、認証が行えることを確認してください。
認証が通り正しくアクセスできると、test-sp1の送信属性確認用のページが表示されます。
正しく想定している属性値がtest-sp1に渡せているか確認してください。
5.さいごに
教育機関向けとなった内容でしたが、如何でしたか?
現在もShibbolethを使って利用している機関も多いかと思いますが、管理など大変かと思います。
認証においてもクラウドのシングルサインオンサービスを検討してみては、どうでしょう。