大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
Shibboleth Idpのlogin.confで設定できる. この例では,ldap proxyのrwm-mapによって uidをsamaccountnameに変換して,ADサーバとバインドしているので,userFilterにuid={0}を使用しているが,Shibboleth idpが直接ADサーバとバインドする場合,samaccountname=0}となる. 下記に設定例を示す. ADのグループ属性が,Authsのメンバーに登録され,かつ,NotGakuninsのメンバーに登録されていない場合に,認証を許可する. edu.vt.middleware.ldap.jaas.LdapLoginModule sufficient host="localhost" base="dc=xx,dc=xx,dc=xx,dc=xx,dc=xx" ssl="false" subtreeSearch="true" userFilter="(&(uid={0})(memberOf=CN=Auths,CN=Users,DC=xx,DC=xx,DC=xx,DC=xx,DC=xx)(!(memberOf=CN=NotGakunins,CN=xx,DC=xx,DC=xx,DC=xx,DC=xx,DC=xx)))" serviceUser="cn=prox,CN=Users,dc=xx,dc=xx,dc=xx,dc=xx,dc=xx" serviceCredential="xxxx" ;
UPKI(学認;Gakunin)用Shibboleth IdPでGoogle Apps SSO(シングルサインオン)を利用する方法 ★ポイント:transientId(urn:oasis:names:tc:SAML:2.0:nameid-format:transient)を送信するとエラーになるみたいです. ★ログアウト:Shibboleth IdP 2.4.0からはSLO(Single LogOut)が実装されたので可能になりました⇒#1979@ノート;. ・関連URLの2の資料(https://shibboleth.usc.edu/docs/google-apps/)を参考に基本設定を行う。 動作の概要ですが、 SAMLアサーション⇒#48@シボレスページレビュー;によって、 <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"> にて、ユーザ名(@より前の情報)のみがGoogleに転送されます。 Google Appsの方に、ユーザ名を登録してあると利用できる仕組みになっています。Google Appsに登録していないユーザは利用できないようです。 ・attribute-filter.xmlを変更する。 <AttributeFilterPolicy id="releaseTransientIdToAnyone"> <PolicyRequirementRule xsi:type="basic:NOT" > ← <basic:Rule xsi:type="basic:AttributeRequesterString" value="google.com" /> ← </PolicyRequirementRule> ← attribute-filter.xmlを変更する理由は、Google Appsに、不要な属性情報(transient IDなど)が転送されると正常に認証トークンが成立しないようです。PolicyRequirementRule xsi:type="basic:Any"が存在する場合は、調整する必要があるようだ⇒#47@シボレスページレビュー;。 【関連URL】 1. "Google
Google AppsをShibboleth IdPでSSOを実現した場合のログアウト処理 Google AppsをShibboleth IdPとSAML連携によるシングルサインオン(SSO)を実現した場合,ログアウトの処理ができないため,ブラザーを閉じる必要があった. シボレス(Shibboleth) IdP 2.4.0よりシングルログアウト(SLO)が実装されたのでGoogle Appsもログアウト処理が可能になったようである.具体的な設定方法を下記に示す. Google Appsに管理者でログインし, シングル サインオン (SSO) の設定の ログアウト ページ URL を Shibboleth IdPのhandler.xmlに記述した ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout"の要素内のRequestPathの子要素の値 をもとに、下記の例に従って決定できる. たとえば, vhost名: idp.yz.yamagata-u.ac.jp Proxyパス: /idp/ handler.xmlのRequestパス: /Logout の場合、 https://idp.yamagata-u.ac.jp/idp/profile/Logout とする. 【開発環境】 IdP: Shibboleth IdP 2.4.0 (学認対応)⇒#1982@ノート; 【ノート】 ・UPKI(学認)用Shibboleth IdPでGoogle Apps SSOを利用する方法⇒#1141@ノート; ・SharePoint - ADFS - Shibboleth IdpのSLOの試験運用⇒#1978@ノート; ・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)⇒#1981@ノート; 【標準的なidpのLocalLogoutの定義】 <ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout">
2013年7月24日から,サイバーキャンパス「鷹山」のシボレス認証(学認ログイン)をシングルログアウト(SLO)に対応にしました.試験運用ですので,不具合が生じるかもしれませんが,徐々に改善していきます.ご了承のほどお願いします. セキュリティ対策のため,クエリー文字列数を制限している場合,シボレスのディレクトリ配下は,2048文字程度にしましょう. 【試験環境】 ・Shibboleth IdP 2.4.0(学認対応)⇒#1982@ノート; ・Shibboleth SP 2.5.2(学認対応) < Windows 2008 R2 ●SLOに対応したメタデータ例:https://a.yamagata-u.ac.jp/amenity/network/ShibbolethMetaXml.aspx?ProjectID=14 【ノート】 ・Google AppsのSSO時のLogout(Shibboleth IdPを使った場合)⇒#1979@ノート; ・SharePoint - ADFS - Shibboleth IdpのSLOの試験運用⇒#1978@ノート;
学認のメタデータを自動的にADFSに登録するには 学認で採用されているシボレス(Shibboleth)のメタデータは,複数のエンティティ―が同一のXMLに記述されている.ADFSは,それぞれ,1つづつ登録する形式であるため,自動化するためのプログラムを開発した. 〇メタデータの分離およびADFS用メタデータの生成プロセス レジストリー機関(学認など)に登録されてメタデータ ↓ Webクローラーで読み込む ↓ 専用プログラムでDOMを解析 ↓ entity毎にデータベースに登録・更新 ↓ ADFSのメタデータとして,WebからXMLを公開 ↓ ADFSサービスが自動的にクロールし,更新 〇ADFSに自動的に登録するためのスクリプトの生成 データベースに登録されているメタデータのリストから自動的に登録スクリプトを生成.下記のような感じで,自動登録. wget https://a.yamagata-u.ac.jp/amenity/network/AdfsIdPAddPSCommand.aspx?FederationID=2 -O - | powershell -File - 【関連講演】 ・山形大学の学認の運用状況とADFSによるシボレスとWS-Federationの連携⇒#95@講演; ・大学間相互利用を目指した学認対応資源管理データベースの構築⇒#96@講演; 伊藤智博,立…らは、2012年に香川大学 総合情報センターで開催された第7回国立大学法人情報系センター研究集会/第16回学術情報処理研究集会においてADFSによる学術認証フェデレーション対応SharePointサービスの構築について報告している⇒#324@学会;。
2012/1/16 図書館よりトラブルの連絡あり 利用者から2012/1/10より動作しないとのトラブル連絡 2012/1/16 調査開始、再現性確認済み 2012/1/17 NIIに連絡。 2012/1/20 NIIからの連絡より、再度設定の確認、設定には問題ない 2012/1/20 NIIのお願いして、エルゼビアに連絡、原因の特定開始
学術認証フェデレーション(Gakunin;学認)用IdPの証明書の更新作業
学認CAMP@三重県 開催場所: 三重大学⇒#91@学校; 総合研究棟II 1F メディアホール 日程: 9月14日(水) (予定) 13:30 ~ 14:20 Shibboleth, 学認 を知ろう 14:20 ~ 15:10 新しい学認機能の紹介 DS, uApprove.jp, OpenIdP⇒#3670@講義; 15:10 ~ 15:30 (休憩) 15:30 ~ 16:20 メンバー属性プロバイダー GakuNin mAP の紹介⇒#3701@講義; 16:20 ~ 17:10 地域連携、学認に関する意見交換 申し込み:不要 主催:国立情報学研究所 共催:三重大学 総合情報処理センター 【後日】 第6回情報系センター研究交流・連絡会議/第15回学術情報処理研究集会⇒#142@会議;
UPKI/学認(学術認証フェデレーション)/eduroam関係-公開資料 ○依頼講演 ・伊藤 智博,吉田浩司,山形大学UPKI認証基盤の状況,学術認証フェデレーション(UPKI-Fed)試行運用参加説明会,国立情報学研究所 12階会議室,2009/08/05. 関連URL: https://a.yamagata-u.ac.jp/amenity/Event/EventThemeWeb.aspx?nEventThemeID=77 発表資料: https://upki-portal.nii.ac.jp/docs/open/fed/7、https://upki-portal.nii.ac.jp/docs/files/5_yamagata_0.pdf ・伊藤 智博,山形大学における「学認」対応認証基盤整備とe-サイエンスへの取り組み,SINET&学認説明会(2010年度;札幌),北海道大学 百年記念会館 大会議室,2010/12/06 関連URL: http://www.sinet.ad.jp/inform/news-1/20101015、https://a.yamagata-u.ac.jp/amenity/Event/EventThemeWeb.aspx?nEventThemeID=92 発表資料: http://www.sinet.ad.jp/inform/news-1/gj-sapporo.pdf、http://www.sinet.ad.jp/inform/news-1/gj-sapporo-d.pdf ○セミナー講師 ・伊藤智博、情報処理軽井沢セミナー「Shibbolethによるシングルサインオンの実現」、NII主催、軽井沢 、2009/9/3. 関連URL:http://www.nii.ac.jp/hrd/ja/joho-karuizawa/h21/curritxt.html 講演資料: http://www.nii.ac.jp/hrd/ja/joho-karuizawa/h21/txt5.pdf ○公開資料/報告書など ・UPKIシングルサインオン実証実験、大学からの報告事例、http://www.gakunin.jp/docs/fed/feasibility 山形大学の報告事例: http://www.gakunin.jp/docs/fed/feas
2010年度 SINET&学認 説明会 by
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。