🏠

🌡️ 📆 令和5年3月31日

🗒️ UPKI(学認)用Shibboleth IdPでGoogle Apps SSOを利用する方法

UPKI(学認;Gakunin)用Shibboleth IdPでGoogle Apps SSO（シングルサインオン）を利用する方法

★ポイント：transientId(urn:oasis:names:tc:SAML:2.0:nameid-format:transient)を送信するとエラーになるみたいです．

★ログアウト：Shibboleth IdP 2.4.0からはSLO(Single LogOut)が実装されたので可能になりました¹⁾．

・関連ＵＲＬの2の資料（https://shibbole…）を参考に基本設定を行う。

動作の概要ですが、
SAMLアサーション²⁾によって、
＜saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"＞
にて、ユーザ名（@より前の情報）のみがGoogleに転送されます。

Google Appsの方に、ユーザ名を登録してあると利用できる仕組みになっています。Google Appsに登録していないユーザは利用できないようです。


・attribute-filter.xmlを変更する。
＜AttributeFilterPolicy id="releaseTransientIdToAnyone"＞
＜PolicyRequirementRule xsi:type="basic:NOT" ＞ ←
＜basic:Rule xsi:type="basic:AttributeRequesterString" value="google.com" /＞　←
＜/PolicyRequirementRule＞　←

attribute-filter.xmlを変更する理由は、Google Appsに、不要な属性情報(transient IDなど)が転送されると正常に認証トークンが成立しないようです。PolicyRequirementRule xsi:type="basic:Any"が存在する場合は、調整する必要があるようだ³⁾。

【関連ＵＲＬ】
1. "Google Apps 用 SAML シングルサインオン (SSO) サービス", http://code.goog… , Google
2. "Achieving Single Sign-on with Google Apps and Shibboleth 2.0", https://shibbole…
3. 山形大学学術認証フェデレーション実証実験、https://upki.yam…

【関連講義】
・サイバーキャンパス「鷹山」,UPKI関係資料⁴⁾

【関連ノート】
Google AppsのSSO時のLogout(Shibbolethを使った場合)⁵⁾

【キーワード】
シボレス, ＳＳＯ, 学認, SAML,UPKI

Google AppsのSSO利用時のLogout(Shibboleth IdPを使った場合)
伊藤　智博, 研究ノート, (2013).

高等学校 > 高校公民 > 政治・経 > 独立行政 > 大学共同 > 国立情報 > UPKI > UPKI関係資料,UPKI-シングルサインオン(SSO)実証実験
仁科 辰夫,サイバーキャンパス「鷹山, 講義ノート, (2009).

Google AppsのSSO利用時のLogout(Shibboleth IdPを使った場合)
伊藤　智博, 研究ノート, (2013).

テキストは、文字コードの羅列です。 文字コードを 表示や印刷するには、フォントを使って画像にします。

---

https://edu.yz.yamagata-u.ac.jp/developer/Asp/Youzan/Laboratory/LaboNote/@LaboNote.asp?id=1141

---

山形大学 データベースアメニティ研究所

〒992-8510 山形県米沢市城南4丁目3-16

３号館（物質化学工学科棟） 3-3301

准教授 伊藤智博

0238-26-3573

http://amenity.yz.yamagata-u.ac.jp/