大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
🏠
🏠
ADFSがoAuth 2.0をサポート Windows Server 2012 R2でADFSがoAuthをサポート, http://blogs.technet.com/b/maheshu/archive/2015/04/28/oauth-2-0-support-in-adfs-on-windows-server-2012-r2.aspx さらに,Visual Studio 2015では,クロスプラットホームをサポート Windows 10では,Googleカレンダーも同期可能 MSは携帯端末と認証基盤のADとの連携を強化している.
ADFSとADFSプロキシ(proxy)の証明書の更新 ちょっと,作業手順が多いかも. ○ADFSサーバ 証明書インポート ADFSサービス,IISの証明書を更新(設定変更) ○Office365側 証明書の更新がいるかも,とりあえずやった. ○ADFSプロキシサーバ 証明書インポート IISの証明書を更新(設定変更), ADFSプロキシサーバのウィザードによる再設定
問題なく動作する
Office 365: ADFS 2.0によるSSOによるSkydrive proの動作 問題なく動作する
Office365でOutlookからのExchange接続を認証連携する場合,ADFSプロキシサービスに,MFG(Microsoft Federation Gateway)が認めているCAから発行されたデジタル証明書が必要である. 現在,下記の認証局のデジタル証明書が利用できるようである. (http://technet.microsoft.com/ja-jp/library/ee332350.aspx) 残念ながら,UPKI ODCERT⇒#2892@講義;のROOT CAは,含まれていない. → 2013-10-17にドキュメントが変更されSECOMもリストに追加されました。 → OCDERTの証明書でも使えるでしょう。 Comodo Certification Authority Digicert Global Root Certification Authority Digicert Global Root Certification Authority Entrust.net Secure Server Certification Authority Entrust.net Secure Server Certification Authority Equifax Secure Certification Authority GlobalSign Certification Authority Go Daddy Class 2 Certification Authority Network Solutions Certification Authority Comodo Certification Authority Comodo Certification Authority Class 3 Public Primary Certification Authority VeriSign Trust Network 【関連ノート】 Office365のためのスキーマの拡張⇒#1976@ノート;
2013年7月24日から,サイバーキャンパス「鷹山」のシボレス認証(学認ログイン)をシングルログアウト(SLO)に対応にしました.試験運用ですので,不具合が生じるかもしれませんが,徐々に改善していきます.ご了承のほどお願いします. セキュリティ対策のため,クエリー文字列数を制限している場合,シボレスのディレクトリ配下は,2048文字程度にしましょう. 【試験環境】 ・Shibboleth IdP 2.4.0(学認対応)⇒#1982@ノート; ・Shibboleth SP 2.5.2(学認対応) < Windows 2008 R2 ●SLOに対応したメタデータ例:https://a.yamagata-u.ac.jp/amenity/network/ShibbolethMetaXml.aspx?ProjectID=14 【ノート】 ・Google AppsのSSO時のLogout(Shibboleth IdPを使った場合)⇒#1979@ノート; ・SharePoint - ADFS - Shibboleth IdpのSLOの試験運用⇒#1978@ノート;
SharePointとADFSとShibboleth IdP連携した認証トークンのシングルログアウト(SLO) Microsoft Sharepoint サーバを学認ログイン(SAML2準拠認証トークン)に対応するためには、ADFSサーバを経由してShibboleth IdPにSAML認証することで実現できる⇒#18239@業績;。 SharePointサーバのサインアウト時に、Shibboleth IdPおよびADFSのセッションを終了し、正常にログアウトできるようにする。 ★ 2013年7月21日より試験運用開始 ★ 【開発環境】 IdP: Shibboleth IdP 2.4.0(学認対応)⇒#1982@ノート; ADFS: ADFS 2.0 SP: SharePoint 2010 Foundation ●SLOに対応したメタデータ例: https://a.yamagata-u.ac.jp/amenity/network/ShibbolethMetaXml.aspx?ProjectID=14 【ノート】 ・Googel AppsのSSO時のLogout(Shibbolethを使った場合)⇒#1979@ノート; ・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)⇒#1981@ノート;
学認のメタデータを自動的にADFSに登録するには 学認で採用されているシボレス(Shibboleth)のメタデータは,複数のエンティティ―が同一のXMLに記述されている.ADFSは,それぞれ,1つづつ登録する形式であるため,自動化するためのプログラムを開発した. 〇メタデータの分離およびADFS用メタデータの生成プロセス レジストリー機関(学認など)に登録されてメタデータ ↓ Webクローラーで読み込む ↓ 専用プログラムでDOMを解析 ↓ entity毎にデータベースに登録・更新 ↓ ADFSのメタデータとして,WebからXMLを公開 ↓ ADFSサービスが自動的にクロールし,更新 〇ADFSに自動的に登録するためのスクリプトの生成 データベースに登録されているメタデータのリストから自動的に登録スクリプトを生成.下記のような感じで,自動登録. wget https://a.yamagata-u.ac.jp/amenity/network/AdfsIdPAddPSCommand.aspx?FederationID=2 -O - | powershell -File - 【関連講演】 ・山形大学の学認の運用状況とADFSによるシボレスとWS-Federationの連携⇒#95@講演; ・大学間相互利用を目指した学認対応資源管理データベースの構築⇒#96@講演; 伊藤智博,立…らは、2012年に香川大学 総合情報センターで開催された第7回国立大学法人情報系センター研究集会/第16回学術情報処理研究集会においてADFSによる学術認証フェデレーション対応SharePointサービスの構築について報告している⇒#324@学会;。
ADFSのHome Realm DiscoveryPageに候補のIdPを表示するようにカスタマイズ 利用者のIPアドレスを識別して,候補のIdPを表示すると便利かなぁー. 本学の場合,133.24.x.xと2001:df0:25e:xxx::y という IPアドレスが使われています. 133.24.1.1というIPで最初に接続したときは,候補がないので,候補なし で表示され,山形大のIdPを選択するとDBベースに, 133.24.1.1は,山形大のIdPを1回と記録されます. そうすると,次に同じIPから接続した場合,133.24.1.1の候補は, 山形大のIdPと表示されます.このとき,山形大のIdPを選択すると 133.24.1.1は,山形大のIdPを2回と更新されます. 次に,山形大の別のIP(133.24.2.1)で接続を試みた場合, データベースの記録を133.24.2.1で検索して,候補がないので, 133.24.2.*で検索して,候補を探します.それでもないので, 133.24.*.*で検索して,候補を探すと,133.24.1.1のとき,山形大のIdPを 使った記録があるので,133.24.2.1には,山形大のIdPを 返事するようになります.候補が複数出た場合は,過去の利用回数の 多い順に参照します.(この写像の設計が勝負なので,ひとまず,開発中ということで...) 基本は,経路情報のロンゲストマッチと同じアルゴリズムで選択し,かつ, 利用回数の記録をもとに,徐々に修正していくようにしてあります. すなわち, IP = ディスティネーションIP 1/利用数 = メトリック(メトリックは距離を表しているので,利用回数を逆数) のような意味付けかなぁー. 伊藤智博,立…らは、2012年に香川大学 総合情報センターで開催された第7回国立大学法人情報系センター研究集会/第16回学術情報処理研究集会においてADFSによる学術認証フェデレーション対応SharePointサービスの構築について報告している⇒#324@学会;。
ADFSのHome Realm Discoveryのカスタマイズ3 (IdPのリストページにフィルタを追加) DataViewでフィルタを追加しよう.サンプルコードは下記のような感じ・・ Protected Sub Repeater1_dipsplay(ByVal FilterValue As String) Dim dt As DataTable dt = ClaimsProviders Dim dv As DataView = New DataView(dt) Dim szWhere As String = "Name Like '%" & FilterValue & "%'" dv.RowFilter = szWhere Repeater1.DataSource = dv Repeater1.DataBind() End Sub 伊藤智博,立…らは、2012年に香川大学 総合情報センターで開催された第7回国立大学法人情報系センター研究集会/第16回学術情報処理研究集会においてADFSによる学術認証フェデレーション対応SharePointサービスの構築について報告している⇒#324@学会;。
ADFSのHome Realm Discoveryのカスタマイズ1 (関連するクラスについて) Microsoft.IdentityServer.Web.UI.HomeRealmDiscoveryPage のクラスに詳細が書いてある 伊藤智博,立…らは、2012年に香川大学 総合情報センターで開催された第7回国立大学法人情報系センター研究集会/第16回学術情報処理研究集会においてADFSによる学術認証フェデレーション対応SharePointサービスの構築について報告している⇒#324@学会;。
ADFSとShibbolethの信頼情報(メタデータ)の管理方法の違い 〇ADFSの場合 メタデータをEntityID毎に登録信頼関係を設定 〇Shibboleth(学認)の場合 レジストリに登録したメタデータによる一括の信頼関係を設定 すなわち,学認で利用しているメタデータを直接ADFSに読み込むことはできない. 【関連講演】 ・山形大学の学認の運用状況とADFSによるシボレスとWS-Federationの連携⇒#95@講演;
ADFSとShibbolethの相互連携はできるか? ー ADFS IdP/SP ⇔ Shib SP/IdP - 〇たどえば,下記のようなことはできるかなぁ? ①認証:ADFS IdP → サービス:Shibboleth SP ②認証:Shibboleth IdP → サービス:WIF ①について, 1:1でメタデータを交換して,信頼関係を設定すれば,Shibboleth SPの認証プロバイダーをADFSの認証連携サービス(IdP)を利用可能. ②WIF(Sharepointの場合)の認証情報として,Shibboleth IdPを利用することは難しようだなぁー,もう一歩.腕がいるねぇー. → 解決先: ADFSは,SAML2.0の認証情報をWSフェデレーションにプロキシする機能を利用する⇒#1821@ノート; 【関連講演】 ・山形大学の学認の運用状況とADFSによるシボレスとWS-Federationの連携⇒#95@講演;
ADFSのHome Realm Discoveryのカスタマイズ2 (リンクリストの追加;IdPをリスト表示するには) asp:Repeaterをasp:LinkButtonを使って作成. サンプルコードは,http://msdn.microsoft.com/en-us/library/ee895364.aspxにある 伊藤智博,立…らは、2012年に香川大学 総合情報センターで開催された第7回国立大学法人情報系センター研究集会/第16回学術情報処理研究集会においてADFSによる学術認証フェデレーション対応SharePointサービスの構築について報告している⇒#324@学会;。
ADFS 2.0とShibboleth IdPは、 Claims Provider Trustとして登録することで、WSフェデレーションと連携できる. たとえば,シェアポイント(SharePoint)サーバにシボレスIdPによる認証でログインしたい場合, ・SharePointのクレーム認証サーバをADFS 2.0認証サーボスに指定する. ・次にADFS 2.0の認証プロバイダーをShibboleth IdPに設定する. この2つのプロセスによって,Windows系のADFS, WSフェデレーションとシボレスやSAML2.0を相互交換できる. ADFS 2.0サービスのポイントは,Shibboleth SPやWSフェデレーションのウェブサービスから見るとADFS 2.0は,IdPとして動作する.一方,Shibboleth IdPなどSAMLベースの認証プロバイダーから見るとADFS 2.0はSPとして動作するようになっている.
ADFSのIdPとシボレス(Shibboleth) SPの信頼データの管理 ADFSのIdPは,学術認証フェデレーション(学認;Gakunin)で、使っているような複数IdPやSPが記述されたメタデータを読み込むことはできない。 各SPのごとのEntityDescriptorを修正することで、ADFSにメタデータを読み込ませることが可能である。また、ADFSは、各SPごとに、メタデータを管理するURLを設定する方式であるため、SPごろにユニークなメタデータを生成するようにした。 本学のフェデレーション実験完了ではデータベースでメタデータを管理しているので、ADFSのIdPとシボレスSPのそれぞれのメタデータの各プロパティーをデータベースに登録し、それぞれの対応したメタデータを自動生成するようにした。 ・ADFS IdPに提供するSPのメタデータ(1つ目のSP)は、下記のURLのように変更した。 https://a.yamagata-u.ac.jp/amenity/network/AdfsSPMetadataXml.aspx?SPID=11 次のADFS 2.0のIdPで、下記ようなコマンドで、登録する。 Add-ADFSRelyingPartyTrust -Name c.yz.yamagata-u.ac.jp -MetadataURL HTTPS://a.yamagata-u.ac.jp/amenity/network/AdfsSPMetadataXml.aspx?SPID=11 -AutoUpdateEnabled 1 -MonitoringEnabled 1 -IssuanceAuthorizationRules '@RuleTemplate="AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value="true");' あとは、ADFSのIdPでは、自動的にURLを参照しながら、メタデータは、更新されるはずある。 また、シボレスSP側は、学認と同様のADFSのIdPのメタデータを読み込むことで正常に動作した。 参考メタデータ:https://a.yamagata-u.ac.jp/amenity/networ
ADFS IdP と シボレス SPの接続は可能。 ADFSは、学認のメタデータを読み込めないので、手動登録になる。 → さてどうしよう。 → 解決策:ADFSのIdPとシボレスSPの信頼データの管理⇒#1751@ノート;
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
