大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
SharePointとADFSとShibboleth IdP連携した認証トークンのシングルログアウト(SLO) Microsoft Sharepoint サーバを学認ログイン(SAML2準拠認証トークン)に対応するためには、ADFSサーバを経由してShibboleth IdPにSAML認証することで実現できる⇒#18239@業績;。 SharePointサーバのサインアウト時に、Shibboleth IdPおよびADFSのセッションを終了し、正常にログアウトできるようにする。 ★ 2013年7月21日より試験運用開始 ★ 【開発環境】 IdP: Shibboleth IdP 2.4.0(学認対応)⇒#1982@ノート; ADFS: ADFS 2.0 SP: SharePoint 2010 Foundation ●SLOに対応したメタデータ例: https://a.yamagata-u.ac.jp/amenity/network/ShibbolethMetaXml.aspx?ProjectID=14 【ノート】 ・Googel AppsのSSO時のLogout(Shibbolethを使った場合)⇒#1979@ノート; ・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)⇒#1981@ノート;
学認のメタデータを自動的にADFSに登録するには 学認で採用されているシボレス(Shibboleth)のメタデータは,複数のエンティティ―が同一のXMLに記述されている.ADFSは,それぞれ,1つづつ登録する形式であるため,自動化するためのプログラムを開発した. 〇メタデータの分離およびADFS用メタデータの生成プロセス レジストリー機関(学認など)に登録されてメタデータ ↓ Webクローラーで読み込む ↓ 専用プログラムでDOMを解析 ↓ entity毎にデータベースに登録・更新 ↓ ADFSのメタデータとして,WebからXMLを公開 ↓ ADFSサービスが自動的にクロールし,更新 〇ADFSに自動的に登録するためのスクリプトの生成 データベースに登録されているメタデータのリストから自動的に登録スクリプトを生成.下記のような感じで,自動登録. wget https://a.yamagata-u.ac.jp/amenity/network/AdfsIdPAddPSCommand.aspx?FederationID=2 -O - | powershell -File - 【関連講演】 ・山形大学の学認の運用状況とADFSによるシボレスとWS-Federationの連携⇒#95@講演; ・大学間相互利用を目指した学認対応資源管理データベースの構築⇒#96@講演; 伊藤智博,立…らは、2012年に香川大学 総合情報センターで開催された第7回国立大学法人情報系センター研究集会/第16回学術情報処理研究集会においてADFSによる学術認証フェデレーション対応SharePointサービスの構築について報告している⇒#324@学会;。
ADFSとShibbolethの信頼情報(メタデータ)の管理方法の違い 〇ADFSの場合 メタデータをEntityID毎に登録信頼関係を設定 〇Shibboleth(学認)の場合 レジストリに登録したメタデータによる一括の信頼関係を設定 すなわち,学認で利用しているメタデータを直接ADFSに読み込むことはできない. 【関連講演】 ・山形大学の学認の運用状況とADFSによるシボレスとWS-Federationの連携⇒#95@講演;
複数のメタデータ用署名の記述(Shibboleth IdP) シボレスIdPに複数のメタデータの署名確認用証明書の記述方法。 例) <security:TrustEngine id="shibboleth.MetadataTrustEngine" xsi:type="security:StaticExplicitKeySignature"> <security:Credential id="GakuninCredentials" xsi:type="security:X509Filesystem"> <security:Certificate>/opt/shibboleth-idp-2.1.5/credentials/gakunin-signer-2010.cer</security:Certificate> </security:Credential> <security:Credential id="UPKIfederationCredentials" xsi:type="security:X509Filesystem"> <security:Certificate>/opt/shibboleth-idp-2.1.5/credentials/upki-fed-signer-ca.cer</security:Certificate> </security:Credential> </security:TrustEngine>
シボレスメタデータ生成支援ツール公開 UPKI-学術認証フェデレーション⇒#2842@講義;で使用されているシボレス(Shibboleth)では、相互に信頼関係を結ぶためのデータであるメタデータ(metadata)が必要であります。メタデータは、XML形式で記述されておりますが、些細な間違いでエラーを起こすことが、あります。そこで、 山形大学では、2009年3月に、データベースによるメタデータの管理および配信するシステムを開発し、発表しております⇒#242@学会;。 この度、ウェブページで、基本情報を入力し、メタデータを生成するツールを開発しましたので、公開します。 【関連URL】 シボレスIdP用メタデータ生成支援ツール https://a.yamagata-u.ac.jp/amenity/network/ShibbolethIdPGenerateXML.aspx シボレスSP用メタデータ生成支援ツール https://a.yamagata-u.ac.jp/amenity/network/ShibbolethSPGenerateXML.aspx
学術認証フェデレーションに対応するためのメタデータの更新作業 学術認証フェデレーション(UPKI-Fed)試行運用参加説明会⇒#106@会議;にて、海外のSP(電子ジャーナルなど)と接続するためのは、Shibboleth 1.3と2.Xの両バージョンに対応する必要があり、メタデータを修正する箇所がいくつかあったので、実際に行った作業の概要を下記にします。 なお、詳細については、UPKIのホームページ(http://upki-repo.nii.ac.jp/Template/index.html)より提供されているメタデータのテンプレートを参照してください。 〇修正箇所1 <IDPSSODescriptor protocolSupportEnumeration="urn:mace:shibboleth:1.0 urn:oasis:names:tc:SAML:2.0:protocol"> ↓ <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:mace:shibboleth:1.0 urn:oasis:names:tc:SAML:2.0:protocol"> 〇修正箇所2 UPKI-サーバ証明書発行・導入における啓発・評価研究プロジェクト⇒#2891@講義;の証明書が2009年9月30日で失効になるため、UPKIオープンドメイン証明書自動発行検証プロジェクト⇒#2892@講義;より発行されたデジタル証明書⇒#2048@講義;に変更した。 これに伴い、メタデータの証明書の部分を修正した。 <ds:X509Certificate> ... base64-encoded certificate elided ... </ds:X509Certificate> 〇追加箇所1 <AttributeAuthorityDescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:1.1:protocol urn:oasis:names:tc:SAML:2.0:protocol"> ・・・ </AttributeAuthorityDescriptor>
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。