Microsoft PowerPoint - shib-training-r13_ pptx[読み取り専用]

Similar documents
Microsoft PowerPoint - shib-training-r10(セミナー第3回用).pptx

Microsoft PowerPoint - shib-training-r7_第3回.pptx

スライド 1

} 学割サービス } StudentBeans } ASKNET (Verification Service for Academic Discount) } アカデミックパス } ウェルネット } SheerID } InAcademia (edugain) } ビッグローブ } edugain

Microsoft PowerPoint - 学認キャンプ-2.pptx

シングルサインオンの基礎知識 ~Shibbolethの概要~

Microsoft PowerPoint - Gakunin2011MieNewFeature.pptx

CA Federation ご紹介資料

学術認証フェデレーション システム運用基準(Ver 1.0)

Active Directory フェデレーションサービスとの認証連携

OpenAM(OpenSSO) のご紹介

PowerPoint プレゼンテーション

金沢大学における   Shibboleth構築とSP実装例

スライド 1

統合 ID 管理システム SECUREMASTER/EnterpriseIdentityManager(EIM) 連携先システム : AD 1, 業務サーバ 3 監査オプション : あり ユーザ ID 情報を一元管理し 業務システム (CSV インポートが可能なシステム ) や AD などの ID

学認(Shibboleth)との認証連携

Microsoft PowerPoint - kantara-gakunin.pptx

スライド 1

北海道大学における Shibboleth 実証実験 IdP の構築 廉価な機器による実装 ID/Password 認証連携の実証試験 PKI 認証連携の実証試験 プライベート認証局の利用 専用のプライベート CA を新設し IdP サーバ証明書を発行 クライアント証明書は既設のプライベート CAから

FUJITSU Cloud Service K5 認証サービス サービス仕様書

SAML認証

KS_SSO_guide

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

SeciossLink クイックスタートガイド

Shibboleth IdPバージョン3に向けたNIIの取り組み

AXIOLE V Release Letter

学認申請システム利用マニュアル(テストfed)_3

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

スライド 1

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

Web ( ) [1] Web Shibboleth SSO Web SSO Web Web Shibboleth SAML IdP(Identity Provider) Web Web (SP:ServiceProvider) ( ) IdP Web Web MRA(Mail Retrieval

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

POWER EGG 3.0 Office365連携

学認とOffice 365 の 認証連携

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

学認は高専をより魅力的にできるか? -メリットと参加のための準備-

目次 1. はじめに 当ドキュメントについて 環境設計 フロー モデルの設計 ログイン タイプの決定 その他情報の決定 IBM Connections Cloud との

学術認証フェデレーションの概要 学術認証フェデレーション試行運用参加説明会 2009 年 8 月 5 日

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

SeciossLink クイックスタートガイド(Office365編)

スライド 1

Mobile Access簡易設定ガイド

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

Microsoft PowerPoint - サイバートラストデバイスID F5 BIG-IP Edge Client連携のご紹介.ppt [互換モード]

ROBOTID_LINEWORKS_guide

ServerViewのWebアクセス制限方法

PowerPoint Presentation

untitled

メールソフト設定ガイド

1 ユーザ認証を受けた権限で アプリケーションを利用するために ログインプロキシにアクセスします 2 ログインプロキシにより Shibboleth SP から Shibboleth IdP の認証画面にリダイレクトされます 3 ブラウザに認証画面を表示します 4 認証画面にユーザ / パスワードを入

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

OSSTech OpenSSO社内勉強会資料

memcached 方式 (No Replication) 認証情報は ログインした tomcat と設定された各 memcached サーバーに認証情報を分割し振り分けて保管する memcached の方系がダウンした場合は ログインしたことのあるサーバーへのアクセスでは tomcat に認証情報

RIMS 研究集会 大学における学術認証基盤の展開 北大の情報環境推進を例に 髙井昌彰 北海道大学 CIO 補佐官 情報基盤センター教授 副センター長

アドバンスト事例紹介

Microsoft Active Directory用およびMicrosoft Exchange用Oracle Identity Connector

SinfonexIDaaS機能概要書

[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

証明書インポート用Webページ

desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1

OSSTechドキュメント

ミーティングへの参加

IceWall FederationによるOffice 365導入のための乱立AD対応ソリューション(オンプレミス型)

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

4. 環境要件 WebWrapper および WebWrapper 管理サーバ <Windows 版 > Windows2000Server ( サービスパック 3 また 4 適用済 ), Windows Server 2003 <Solaris 版 > SPARC CPU を搭載する Sun 製ワ

オープンソース・ソリューション・テクノロジ株式会社 会社紹介

SIOS Protection Suite for Linux v9.3.2 AWS Direct Connect 接続クイックスタートガイド 2019 年 4 月

2011年11月10日 クラウドサービスのためのSINET 学認説明会 九州地区説明会 九州大学キャンパス クラウドシステムの導入 伊東栄典 情報基盤研究開発センター 1

PowerPoint プレゼンテーション

Shibboleth Office365 Education , Office365, 8 26 Office365 Shibboleth., Shibboleth, Office365,. 1.,,,,., LMS.,,, ICT,, Google App

スライド 1

1. 信頼済みサイトの設定 (1/3) この設定をしないとレイアウト ( 公報 ) ダウンロードなどの一部の機能が使えませんので 必ず設定してください 1 Internet Explorer を起動し [ ツール ]-[ インターネットオプション (O)] を選択します 2 [ セキュリティ ] の

ICLT 操作マニュアル (2011 年 05 月版 ) Copyright 2011NE 東京株式会社 All Rights Reserved

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

Microsoft PowerPoint - s3appli-PKI(kataoka) ppt

学認申請システム利用マニュアル(運用fed)_3

SHANON MARKETING PLATFORM 管理者シングルサインオン機能ユーザーマニュアル 管理者シングルサインオン機能ユーザーマニュアル Ver /06/01 株式会社シャノン Copyright SHANON Co., Ltd. All Rights Reserved.

はじめに

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

IM-SecureSignOn

使用する前に

Mozilla Thunderbird アカウント設定手順 株式会社アマダアイリンクサービス

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

2. サポートプラットフォーム Pulse Secure MAG でサポートされる OS 及びブラウザを以下に記載します OS ブラウザ WindowsXP SP3 32bit or 64bit Internet Explorer 7.0 以降 Windows Vista 32bit or 64bi

PowerPoint Presentation

はじめに 注意事項本資料に記載の内容は 弊社が特定の環境において 基本動作や接続動作を確認したものであり すべての環境で機能 性能 信頼性を保証するものではありません 輸出時の注意 AX シリーズに関し 本製品を輸出される場合には 外国為替及び外国貿易法の規制並びに米国輸出管理規制など外国の輸出関連

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

証明書インポート用Webページ

ek-Bridge Ver.2.0 リリースについて

改版履歴 版数 日付 内容 担当 V /0/27 初版発行 STS V..0 20/03/04 トラブルシューティング改訂 STS P-2

How to Use the PowerPoint Template

PALNETSC0184_操作編(1-基本)

Microsoft Word - Android認証設定手順(EAP-TLS)1105.doc

Microsoft Word - Gmail-mailsoft設定2016_ docx

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

eYACHO 管理者ガイド

OSSTechプレゼンテーション

ロードバランサー配下のシボレス IdP 環境設定に関する検証実験 2009 年 12 月 22 日国立情報学研究所学術ネットワーク研究開発センター山地一禎, 中村素典

BACREX-R クライアント利用者用ドキュメント

Transcription:

情報処理技術セミナー Shibboleth 環境の構築 概要説明 セミナーの目的と内容 目的 学術認証フェデレーションへの参加に必要な Shibboleth に基づく IdP と SP の構築 運用の基本を理解する 内容 1 日目 : IdP の構築実習 jdk tomcat Shibbolethのインストール 設定 接続テスト 2 日目 : SP の構築実習 Apache Shibbolethのインストール (shibd, mod_shib) 設定 接続テスト 2 1

学術認証フェデレーションとは 学術認証フェデレーションとは 定められた規程 ( ポリシー ) を信頼しあうことで, 相互に認証連携を実現し, 学術リソースを利用 提供する機関や組織から構成された連合体のこと機関 (IdP) がIDと属性を管理し, サービス提供者 (SP) がそれを利用して認可 プライバシ保護を考慮したシングルサインオン (SSO) 技術 ユーザのユニークネスを保証しつつ個人情報は出さない SPは必要な情報のみをIdPに要求ユーザは各 SPに対する各属性の公開を制御可能 アサーション 従来 :SP で ID 管理 SP ID 属性 SSO:IdP で ID 管理 アクセス SP リダイレクト IdP ユーザ アクセス パスワード ID/ SP ID 属性 ユーザ 認証要求 SP ID 属性 ID/ パスワード 3 Shibboleth( シボレス ) 米国 EDUCAUSE/Internet2 にて 2000 年に発足したプロジェクト 現在の開発主体は Shibboleth Consortium に移行 http://shibboleth.net/ SAML eduperson 等の標準仕様を利用した, 認可のための属性交換を行う標準仕様とミドルウェア ( オープンソースソフトウェア ) 米国 欧州でShibbolethによるフェデレーションが構築 運用され 世界各地に拡大 バージョン1.3 系と2.x 系が広く利用されている ( プロトコルが少し異なる ) cf. 最新は IdP 2.4, SP 2.5 Linux および Windows (IIS) にも対応 欧州 ( 特に北欧 ) では,simpleSAMLphp も利用されている ノルウェ UNINETT http://rnd.feide.no/simplesamlphp Microsoft ADFS 2.0 も利用可能 4 2

フェデレーション構築に必要なサーバ IdP(Identity Provider) フェデレーション内に構成員の情報を提供するサーバ フェデレーションに参加する大学等が構築 SP(Service Provider) 認証を受けた人に対してサービスを行うサーバ 電子ジャーナル, データベース,E-ラーニング等 Webベースのシステムであれば何でも可 DS(Discovery Service) SPへのアクセスの際にIdPを検索するシステムフェデレーションが運用ここに名前がのることにより フェデレーションに参加 WAYF (Where Are You From) サービスとも呼ばれる (Shib 1.x) SPへの埋め込み (embedded) 方式もある 5 IdP (Identity Provider) とは フェデレーション内に情報を提供するサーバであり, 大学等が構築 IdP 自身は情報を持たない情報はLDAPやActive Directory 等, 既存の認証基盤を参照 IdPは単なるフィルタであり, 学内認証基盤から特定のデータのみを抽出して提供する公開できるデータの制御が可能である このため,Shibbolethはしばしば個人情報保護に優れていると言われるが, サーバ自体がハッキングに強固という意味ではない 慎重な操作が必要なのは,LDAPやActive Directoryと同じ 学内認証基盤 LDAP Active Directory など機関名, 所属, 氏名, 肩書き IdP 提供データのフィルタ 非公開データを落とすフィルタ 必要なデータのみを外部へ 機関名, 所属 6 3

SP (Service Provider) とは サービスを提供する Web サーバのこと シボレスログイン 等のボタンがあれば Shibboleth で利用可能な SP である 電子ジャーナルに限らず, いろいろなサービスを Shibboleth 化することが可能 ( 例 : 無線 LAN 認証, サイボウズ ) 学内のみの利用ならば,IdP, SP が立ち上がれば完成 他大学と連携するには何が必要? 7 Shibboleth の基本動作 IdP( 所属機関 ) 9 SP( リソース提供者 ) 6 7 属性情報 8 アクセス承認 9 2 1 HTTPS 7 3 4 5 8 4 DS( ディスカバリサービス ) ユーザ 1 4

Cookie による処理の記憶 登録 配布 ( ダウンロード ) メタデータ 登録 配布 ( ダウンロード ) IdP( 所属機関 ) 9 SP( リソース提供者 ) アクセス承認 6 7 属性情報 8 9 2 1 7 Set Cookie 3 4 5 9 4 DS( ディスカバリサービス ) ユーザ 1 Cookie の有効期限 DSにおけるIdPの選択結果 ( 自動遷移のため ) 数ヶ月 ブラウザ起動中 IdP 選択時にチェックボックスで選択できるようになっている IdPにおけるパスワード認証結果 ブラウザ起動中 ブラウザを閉じることでログアウト Cookieの有効期限内であっても IdP 側でタイムアウト 端末側のIPアドレスの変更などで再認証が要求される 10 5

Shibboleth 動作の詳細 (Shibboleth 2.x) http://www.switch.ch/aai/demo/ より 11 メタデータを用いた信頼の構築 SP B SP C SP A フェデレーション リポジトリ フェデレーションメタデータ DS( ディスカバリサービス ) エンティティメタデータ 12 IdP A IdP C IdP B 自動ダウンロードするフェデレーションメタデータの信頼性は フェデレーションの証明書で担保 ( 事前に入手 検証し 事前にIdP/SPにインストール ) ( 検証は 別チャンネルで入手した fingerprint との比較等による ) 6

メタデータ (XML 形式 ) の構成 フェデレーションメタデータ 署名の情報 IdP の情報 IdP1 の情報 IdP2 の情報 SP の情報 SP1 の情報 SP2 の情報 エンティティメタデータ (IdP) IdP1 の ID=entityID 利用する証明書 利用可能なプロトコル 組織情報 エンティティメタデータ (SP) SP1 の ID=entityID 利用する証明書 利用可能なプロトコル 組織情報 13 Shibboleth の実装 front channel IdP Browser SP Attribute DB AuthN DB Attribute Authority AuthN Engine SSO Profile Username Password AuthN https https Session Initiator DS Assertion Consumer SAML POST Shibboleth Module (mod_shib) Web Resource #.htaccess AuthType shibboleth ShibRequireSession On require valid-user Apache / IIS LDAP/AD Tomcat Form Shibboleth Daemon (shibd) 14 back channel ポート番号は 443 または 8443 7

属性情報のフィルタリングと認可制御 Shibboleth IdP SAML Shibboleth SP attributefilter.xml attributemap.xml 環境変数 Web App LDAP attributeresolver.xml attributepolicy.xml httpd handler.xml login.config relyingparty.xml BackingFile 信頼 shibboleth2. xml BackingFile http.conf.htaccess Access Control リポジトリ 15 学認で扱う 属性 学認で使用される属性情報の種類は 18 種類 これらを用いて認可処理などが可能 属性 内容 OrganizationName (o) 組織名 jaorganizationname (jao) 組織名 ( 日本語 ) OrganizationalUnit (ou) 組織内所属名称 jaorganizationalunit (jaou) 組織内所属名称 ( 日本語 ) edupersonprincipalname (eppn) フェデレーション内の共通識別子 edupersontargetedid フェデレーション内の匿名識別子 edupersonaffiliation 職種 edupersonscopedaffiliation 職種 (@scopeつき) edupersonentitlement 資格 SurName (sn) 氏名 ( 姓 ) jasurname (jasn) 氏名 ( 姓 )( 日本語 ) GivenName 氏名 ( 名 ) jagivenname 氏名 ( 名 )( 日本語 ) displayname 氏名 ( 表示名 ) jadisplayname 氏名 ( 表示名 )( 日本語 ) mail メールアドレス gakuninscopedpersonaluniquecode 学生 職員番号 (@scopeつき) ismemberof 所属するグループ名 実際に使われる属性情報の例 サービス A (1 項目必須 ) eppn ( 必須 ) edupersonaffiliation サービス B (1 項目必須 ) edupersonaffiliation ( 必須 ) サービス C (2 項目必須 ) edupersontargetedid ( 必須 ) edupersonentitlement edupersonscopedaffiliation ( どちらか必須 ) ( 参考 ) https://meatwiki.nii.ac.jp/confluence/x/1os5 16 8

実習環境 すべてクラウド (NII の研究クラウド ) 上にある 実習セミナーレポジトリ DS ex-ds テスト用 ex-idp テスト用 ex-sp, テスト用 ex-sp2 ex-sp, ex-sp2 すでに構築済み DNS 実習用 ex-ldap 実習用 ex-idp-testxx 実習用 ex-sp-testxx CentOS CentOS 受講生が構築する SSH でアクセス 17 端末 すでに準備されているもの テスト用 IdP SP 他機関が用意したものと想定 テスト用 DS フェデレーションが用意するもの DNSサーバ IdP SPのサーバ名を登録 NTPサーバ Shibbolethの動作には時間同期が重要 鍵ペア サーバ証明書 実際には 鍵の生成と証明書発行申請が必要 LDAPサーバ 別途用意されていると想定 18 9

各種情報 1. 学術認証フェデレーション ( 学認 ) に関する Web サイト https://www.gakunin.jp/ 2. ポリシー 申請書 学術認証フェデレーション - 参加 https://www.gakunin.jp/join/production/ 3.IdP SP 構築ガイド 学術認証フェデレーション - 技術ガイド https://www.gakunin.jp/technical/ 4.IdP 構築用 VM イメージ (Vmware Server にて作成 ) 学術認証フェデレーション - 技術ガイド - IdP 構築関連ファイル https://meatwiki.nii.ac.jp/confluence/x/now5 5. テンプレート ( メタデータ IdP 属性管理 ) 学術認証フェデレーション - 技術ガイド - テンプレート https://meatwiki.nii.ac.jp/confluence/x/34s5 6. 情報交換メーリングリスト ( アーカイブ ) 学術認証フェデレーション - 情報交換 ML https://www.gakunin.jp/ml/ 19 追加課題 1(IdP での属性制御 ) 属性情報を全くSPに送出されないように設定を変更し 動作確認する edupersontargetedid edupersonprincipalname のみが送出されるように設定を変更し 動作確認する あるSPに対してeduPersonTargetedID のみが送出されるように設定を変更し 動作確認する あるユーザについて edupersonentitlementの値としてadminを送出するように設定し 動作確認する 参考 URL: https://wiki.shibboleth.net/confluence/x/gobc edupersonentitlementの値について あるSPに対して必要な値のみ通過させるように設定し 動作確認する 参考 URL: https://wiki.shibboleth.net/confluence/x/84bc 20 10

追加課題 2(SP での属性制御 ) 受信した全ての属性がフィルタされるように設定を変更し 動作確認する IdP から edupersonentitlement について複数の値を送出するようにし SP で一方の値のみを通過させるように設定を変更し 動作確認する IdP で trainingtestattribute という新たな属性を送出し SP でその属性を受信するように設定を変更し 動作確認する 21 追加課題 3(SP でのアクセス制御 ) シングルサインオン (SSO) の動作を確認 edupersonaffiliationがstaff の場合にだけアクセスを許可するように設定し 動作確認する edupersonentitlementにtestが含まれる場合にだけアクセスを許可するように設定し 動作確認 LazySession の設定を行い動作確認する 参考 URL: https://wiki.shibboleth.net/confluence/x/byfc ForceAuthentication (forceauthn) を指定した場合の SSO の動作を確認する 参考 URL: https://wiki.shibboleth.net/confluence/x/sibc PassiveAuthentication (ispassive) を設定した場合の動作を確認する 参考 URL: https://wiki.shibboleth.net/confluence/x/sibc 22 11

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック