大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
🏠
🏠
Google ChromeにSAMLログインによる認証連携でログインをする Windows 10でChromeのデスクトップモードへの移行ができないようである.よって,Google Apps経由SAMLログイン(SSO)の環境ではログインできないことがあるようである. Chrome アプリランチャーの設定からログインをするとログインできた.
2013年8月1日,山形大学は,SAML2認証トークンのIdPがOpen Identity Exchange (OIX)のLoA1(第1保証水準)に認定されました. OIX 認定プロバイダーリスト:http://openidentityexchange.org/certified-providers 学認-OIX LoA 1 認定プログラム:https://www.gakunin.jp/docs/fed/loa/loa1program 国立情報学研究所プレスリリース: http://www.nii.ac.jp/news/2013/0821 カレントアウェアネス-E: http://current.ndl.go.jp/e1482 山形大学プレスリリース: http://www.yamagata-u.ac.jp/jpn/university/press/press20130905.pdf 【関連発表】山形大学のLoA1の申請と認定まで⇒#97@講演; 【ノート】LoA1に対応したIdPの設定⇒#1998@ノート; 【関連動画】 ピカッとさいえんす「暗号とセキュリティ」: http://www.youtube.com/watch?v=S8XfXsloeqI
UPKI(学認;Gakunin)用Shibboleth IdPでGoogle Apps SSO(シングルサインオン)を利用する方法 ★ポイント:transientId(urn:oasis:names:tc:SAML:2.0:nameid-format:transient)を送信するとエラーになるみたいです. ★ログアウト:Shibboleth IdP 2.4.0からはSLO(Single LogOut)が実装されたので可能になりました⇒#1979@ノート;. ・関連URLの2の資料(https://shibboleth.usc.edu/docs/google-apps/)を参考に基本設定を行う。 動作の概要ですが、 SAMLアサーション⇒#48@シボレスページレビュー;によって、 <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"> にて、ユーザ名(@より前の情報)のみがGoogleに転送されます。 Google Appsの方に、ユーザ名を登録してあると利用できる仕組みになっています。Google Appsに登録していないユーザは利用できないようです。 ・attribute-filter.xmlを変更する。 <AttributeFilterPolicy id="releaseTransientIdToAnyone"> <PolicyRequirementRule xsi:type="basic:NOT" > ← <basic:Rule xsi:type="basic:AttributeRequesterString" value="google.com" /> ← </PolicyRequirementRule> ← attribute-filter.xmlを変更する理由は、Google Appsに、不要な属性情報(transient IDなど)が転送されると正常に認証トークンが成立しないようです。PolicyRequirementRule xsi:type="basic:Any"が存在する場合は、調整する必要があるようだ⇒#47@シボレスページレビュー;。 【関連URL】 1. "Google
Google AppsをShibboleth IdPでSSOを実現した場合のログアウト処理 Google AppsをShibboleth IdPとSAML連携によるシングルサインオン(SSO)を実現した場合,ログアウトの処理ができないため,ブラザーを閉じる必要があった. シボレス(Shibboleth) IdP 2.4.0よりシングルログアウト(SLO)が実装されたのでGoogle Appsもログアウト処理が可能になったようである.具体的な設定方法を下記に示す. Google Appsに管理者でログインし, シングル サインオン (SSO) の設定の ログアウト ページ URL を Shibboleth IdPのhandler.xmlに記述した ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout"の要素内のRequestPathの子要素の値 をもとに、下記の例に従って決定できる. たとえば, vhost名: idp.yz.yamagata-u.ac.jp Proxyパス: /idp/ handler.xmlのRequestパス: /Logout の場合、 https://idp.yamagata-u.ac.jp/idp/profile/Logout とする. 【開発環境】 IdP: Shibboleth IdP 2.4.0 (学認対応)⇒#1982@ノート; 【ノート】 ・UPKI(学認)用Shibboleth IdPでGoogle Apps SSOを利用する方法⇒#1141@ノート; ・SharePoint - ADFS - Shibboleth IdpのSLOの試験運用⇒#1978@ノート; ・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)⇒#1981@ノート; 【標準的なidpのLocalLogoutの定義】 <ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout">
ADFS 2.0とShibboleth IdPは、 Claims Provider Trustとして登録することで、WSフェデレーションと連携できる. たとえば,シェアポイント(SharePoint)サーバにシボレスIdPによる認証でログインしたい場合, ・SharePointのクレーム認証サーバをADFS 2.0認証サーボスに指定する. ・次にADFS 2.0の認証プロバイダーをShibboleth IdPに設定する. この2つのプロセスによって,Windows系のADFS, WSフェデレーションとシボレスやSAML2.0を相互交換できる. ADFS 2.0サービスのポイントは,Shibboleth SPやWSフェデレーションのウェブサービスから見るとADFS 2.0は,IdPとして動作する.一方,Shibboleth IdPなどSAMLベースの認証プロバイダーから見るとADFS 2.0はSPとして動作するようになっている.
Shibboleth(シボレス) IdPのStoredIDの設定(MySQL) attribute-resolver.xmlに、下記の内容を記入する。 〇SAML1(Shib 1.3系)に対応するときは、下記の有効にする。 <resolver:AttributeDefinition id="eduPersonTargetedID.old" xsi:type="Scoped" xmlns="urn:mace:shibboleth:2.0:resolver:ad" scope="yamagata-u.ac.jp" sourceAttributeID="storedID"> <resolver:Dependency ref="storedID1" /> <resolver:AttributeEncoder xsi:type="SAML1ScopedString" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attribute-def:eduPersonTargetedID" /> </resolver:AttributeDefinition> 〇SAML2.0(Shib 2.x系)に対応にするときは、下記を有効にする。 <resolver:AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" xmlns="urn:mace:shibboleth:2.0:resolver:ad" nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" sourceAttributeID="storedID"> <resolver:Dependency ref="storedID1" /> <resolver:AttributeEncoder xsi:type="SAML1XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" /> <
シボレス認証による科学技術の学術情報共有のための双方向コミュニケーションサービスの運用開始について サイバーキャンパス「鷹山」 による「シボレス認証による科学技術の学術情報共有のための双方向コミュニケーションサービス」の運用が開始されます。サイバーキャンパス「鷹山」が提供する物理量⇒#1@物理量;⇒#2@物理量;や単位⇒#6@単位;、化学物質⇒#4@化学種;⇒#1@元素;などの科学技術用語などに、質問、コメント、感想などに、学認ユーザアカウントによってオンラインで記入できます。 学認に参加している機関から、ご自由にご利用いただけます。詳細は、下記のトップページなどをご覧ください。 トップページ:https://a.yamagata-u.ac.jp/amenity/menu/Shibbolethmenu.aspx 利用登録説明書:https://a.yamagata-u.ac.jp/amenity/Knowledge/ObjectImage.aspx?id=14579 【特徴】 学認参加機関の方は、所属機関のアカウント(認証情報)で、サイバーキャンパス「 鷹山」の様々なページに書き込みができる。様々な専門分野の先生方のご意見やご鞭撻や学生さんなどの質問や感想を取り入れ、さらなる科学技術の発展に寄与しよう。学認の登場により、学外の利用者へのアカウントの発行が不要になるため、サーバの管理者としては、アカウント管理が楽になるなどの特徴があります。 国立情報学研究所や学認の作業部会の皆様には、技術的なサポートや様々なご質問にお答えいただき、深く感謝申し上げます。 【機能】 ページレビュー:https://a.yamagata-u.ac.jp/amenity/Knowledge/ObjectImage.aspx?id=14583 ブックレビュー:https://a.yamagata-u.ac.jp/amenity/Knowledge/ObjectImage.aspx?id=14580 ページレビューRSS:http://a.yamagata-u.ac.jp/amenity/network/ShibGenericRss.aspx?tid=53&fud=logon_date&ref=1&sz=szInfo 2010/6/17に、国立情報学研究所⇒#2083@講義;が
SAML1ScopedStringAttributeEncoderをScriptに変更するときの注意 Shibboleth IdPなどで、Hashなどを行って、scope文字列を追加しても、正常動作しないことがあります。 そのときは、まず、別のresolver:AttributeDefinition IDを作成して、その中に、Scriptを書きこみます(ID=convertxxx)。 次に、Script実行後取得したいresolver:AttributeDefinitionのsourceAttributeIDに作成したID(ID=convertxxx)を指定し、参照することを推奨します。 2段階ステップで実行すると問題なく動作します。 サンプルコード: Shibboleth IdPでBase64に変換する方法⇒#1170@ノート;
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
