大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。
シボレス Shibboleth IdP 2.4.0 からSLOの機能が追加されました。 【関連ノート】 ・Google AppsのSSO時のLogout(Shibboleth IdPを使った場合)⇒#1979@ノート; ・SharePoint - ADFS - Shibboleth IdpのSLOの試験運用⇒#1978@ノート; ・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)⇒#1981@ノート;
UPKI(学認;Gakunin)用Shibboleth IdPでGoogle Apps SSO(シングルサインオン)を利用する方法 ★ポイント:transientId(urn:oasis:names:tc:SAML:2.0:nameid-format:transient)を送信するとエラーになるみたいです. ★ログアウト:Shibboleth IdP 2.4.0からはSLO(Single LogOut)が実装されたので可能になりました⇒#1979@ノート;. ・関連URLの2の資料(https://shibboleth.usc.edu/docs/google-apps/)を参考に基本設定を行う。 動作の概要ですが、 SAMLアサーション⇒#48@シボレスページレビュー;によって、 <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified"> にて、ユーザ名(@より前の情報)のみがGoogleに転送されます。 Google Appsの方に、ユーザ名を登録してあると利用できる仕組みになっています。Google Appsに登録していないユーザは利用できないようです。 ・attribute-filter.xmlを変更する。 <AttributeFilterPolicy id="releaseTransientIdToAnyone"> <PolicyRequirementRule xsi:type="basic:NOT" > ← <basic:Rule xsi:type="basic:AttributeRequesterString" value="google.com" /> ← </PolicyRequirementRule> ← attribute-filter.xmlを変更する理由は、Google Appsに、不要な属性情報(transient IDなど)が転送されると正常に認証トークンが成立しないようです。PolicyRequirementRule xsi:type="basic:Any"が存在する場合は、調整する必要があるようだ⇒#47@シボレスページレビュー;。 【関連URL】 1. "Google
Google AppsをShibboleth IdPでSSOを実現した場合のログアウト処理 Google AppsをShibboleth IdPとSAML連携によるシングルサインオン(SSO)を実現した場合,ログアウトの処理ができないため,ブラザーを閉じる必要があった. シボレス(Shibboleth) IdP 2.4.0よりシングルログアウト(SLO)が実装されたのでGoogle Appsもログアウト処理が可能になったようである.具体的な設定方法を下記に示す. Google Appsに管理者でログインし, シングル サインオン (SSO) の設定の ログアウト ページ URL を Shibboleth IdPのhandler.xmlに記述した ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout"の要素内のRequestPathの子要素の値 をもとに、下記の例に従って決定できる. たとえば, vhost名: idp.yz.yamagata-u.ac.jp Proxyパス: /idp/ handler.xmlのRequestパス: /Logout の場合、 https://idp.yamagata-u.ac.jp/idp/profile/Logout とする. 【開発環境】 IdP: Shibboleth IdP 2.4.0 (学認対応)⇒#1982@ノート; 【ノート】 ・UPKI(学認)用Shibboleth IdPでGoogle Apps SSOを利用する方法⇒#1141@ノート; ・SharePoint - ADFS - Shibboleth IdpのSLOの試験運用⇒#1978@ノート; ・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)⇒#1981@ノート; 【標準的なidpのLocalLogoutの定義】 <ProfileHandler xsi:type="SAML2SLO" inboundBinding="urn:mace:shibboleth:2.0:profiles:LocalLogout">
SharePointとADFSとShibboleth IdP連携した認証トークンのシングルログアウト(SLO) Microsoft Sharepoint サーバを学認ログイン(SAML2準拠認証トークン)に対応するためには、ADFSサーバを経由してShibboleth IdPにSAML認証することで実現できる⇒#18239@業績;。 SharePointサーバのサインアウト時に、Shibboleth IdPおよびADFSのセッションを終了し、正常にログアウトできるようにする。 ★ 2013年7月21日より試験運用開始 ★ 【開発環境】 IdP: Shibboleth IdP 2.4.0(学認対応)⇒#1982@ノート; ADFS: ADFS 2.0 SP: SharePoint 2010 Foundation ●SLOに対応したメタデータ例: https://a.yamagata-u.ac.jp/amenity/network/ShibbolethMetaXml.aspx?ProjectID=14 【ノート】 ・Googel AppsのSSO時のLogout(Shibbolethを使った場合)⇒#1979@ノート; ・シボレス-シングルログアウト実験中(Shobboleth SP 2.5.2 - IdP 2.4.0)⇒#1981@ノート;
大学教育の質の保証・向上ならびに 電子化及びオープンアクセスの推進の観点から 学校教育法第百十三条に基づき、 教育研究活動の状況を公表しています。
第百十三条 大学は、教育研究の成果の普及及び活用の促進に資するため、その教育研究活動の状況を公表するものとする。