学認(Shibboleth)との認証連携

Similar documents
Active Directory フェデレーションサービスとの認証連携

SeciossLink クイックスタートガイド

SeciossLink クイックスタートガイド(Office365編)

CybozuWorkspace連携ホワイトペーパー_v1.2

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

北海道大学における Shibboleth 実証実験 IdP の構築 廉価な機器による実装 ID/Password 認証連携の実証試験 PKI 認証連携の実証試験 プライベート認証局の利用 専用のプライベート CA を新設し IdP サーバ証明書を発行 クライアント証明書は既設のプライベート CAから

1 目次 本書の構成 2 体験版申請用総合ソフトの機能 3 申請用総合ソフトとの相違点 体験版申請用総合ソフト ver.3.0 は, 本番用の申請用総合ソフト (3.0A) の機能に擬似データを加えたものです

インストール要領書

FUJITSU Cloud Service K5 認証サービス サービス仕様書

ROBOTID_LINEWORKS_guide

SeciossLink クイックスタートガイド Office365 とのシングルサインオン設定編 2014 年 10 月株式会社セシオス 1

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

memcached 方式 (No Replication) 認証情報は ログインした tomcat と設定された各 memcached サーバーに認証情報を分割し振り分けて保管する memcached の方系がダウンした場合は ログインしたことのあるサーバーへのアクセスでは tomcat に認証情報

1. はじめに (1) 本書は 厚生年金基金ネットサービス を既にご利用されている基金様に向けて ウェブブラウザを Internet Explorer( 以下 IE)11 にアップグレードする手順をご案内するものです (2) 項目 2 から 5 までの全手順を実施願います ( 所要時間 : 約 30

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

クライアント証明書インストールマニュアル

セットアップガイド

Shibboleth IdPバージョン3に向けたNIIの取り組み

目次 1. はじめに 証明書ダウンロード方法 ブラウザの設定 アドオンの設定 証明書のダウンロード サインアップ サービスへのログイン

(1)IE6 の設定手順 (1)IE6 の設定手順 1) 信頼済みサイトの追加手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ツール / インターネットオプション / セキュリティ メニューを選択します 手順 3: セキュリティ タブの 信頼済みサイト を選択

SAML認証

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

改訂履歴 版数 改訂理由 / 内容 制定 / 改定日 変更者 3.0 新サイト用に新規作成 2016/9/26 クオリカ株式会社 3.1 ユーザー向けに追記 2016/9/30 CP 事業部 3.2 初期設定追加 2016/10/6 CP 事業部 1

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

KS_SSO_guide

Microsoft Word - Gmail-mailsoft設定2016_ docx

VPNマニュアル

OpenAM 9.5 インストールガイド オープンソース ソリューション テクノロジ ( 株 ) 更新日 : 2013 年 7 月 19 日 リビジョン : 1.8

目次 1. はじめに 2. CSS-Net の動作環境 3. インストール手順 4. CSS-Net の起動および初期設定 5. アンインストール方法 1. はじめに 本書は CSS-Net(GSPc_Local) のインストール手順を纏めたものです 1

アドバンスト事例紹介

desknet s NEO SAML 連携設定手順書 2019 年 1 月 株式会社セシオス 1

属性 NameID SP に対してどのような属性が送出されるか確認する方法個別のページに移動 attribute-resolver.xml や attribute-filter.xml 等の設定を行ったあと SP に対してどのような属性が送出されるか確認するためには Shibboleth IdP 付

バックテスト

CA Federation ご紹介資料

クラウドファイルサーバーデスクトップ版 インストールマニュアル ファイルサーバー管理機能 第 1.1 版 2017/01/24 富士通株式会社

ニトリ労働組合アンケートシステム 利用者向け操作説明書 第 1.2 版 平成 25 年 10 月 08 日

セキュリティオンライン Powered by Symantec インストールマニュアル 第 9 版 2016 年 7 月 19 日 1

スライド 1

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

1-2

目次 1. はじめに 当ドキュメントについて 環境設計 フロー モデルの設計 ログイン タイプの決定 その他情報の決定 IBM Connections Cloud との

UAC UAC Widows 7 OK Windows8.1/10-9

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

USB トークン (epass2003) ユーザマニュアル Ver2.0 1 / 25 Copyright 2018 Mitsubishi Electric Information Network Corporation All rights reserved.

OmniTrust

GXS-I WebIEAS オペレーション ガイド 版 : 第 1 版 2007 年 01 月 22 日 第 2 版 2011 年 12 月 02 日 第 3 版 2012 年 04 月 27 日 第 4 版 2013 年 06 月 17 日 ( 本書 ) GXS 株式会社 (c) 20

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

クライアント証明書インストールマニュアル

1. WebShare 編 1.1. ログイン / ログアウト ログイン 1 WebShare の URL にアクセスします xxxxx 部分は会社様によって異なります xxxxx. 2 ログイン名 パスワードを入力し

(株) 殿

目次 1. 教育ネットひむかファイル転送サービスについて ファイル転送サービスの利用方法 ファイル転送サービスを利用する ( ひむか内 ) ファイル転送サービスへのログイン ひむか内 PCでファイルを送受信する

<90568A838E E7193FC8E AE8DEC8AC28BAB82CC92C789C182C68F9C8A4F82C982C282A282C A8926D82E782B9816A5F8A6D92E894C52E786477>

03. クイックマニュアル [Agent 導入編 ] AnyClutch Remote 接続先 PC への設定の方法 遠隔から使いたい PC への AnyClutch Remote の Agent を導入する手順となります 導入にはコンピューター管理者権限を持っているアカウントで行う必要がございます

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

RW-4040 導入説明書 Windows 7 用 2017 年 7 月 シャープ株式会社

RW-5100 導入説明書 Windows7 用 2017 年 7 月 シャープ株式会社

クライアント証明書導入マニュアル

これらの情報は 外部に登録 / 保存されることはございません 5 インターネット接続の画面が表示されます 次へ > ボタンをクリックしてください 管理者様へ御使用時に設定された内容を本説明文に加筆ください 特に指定不要で利用可能であった場合は チェックボックスを オフ していただきますようご案内くだ

Microsoft Word - 【掲載用】True Keyマニュアル_1.0版_ r2.docx

SHANON MARKETING PLATFORM 管理者シングルサインオン機能ユーザーマニュアル 管理者シングルサインオン機能ユーザーマニュアル Ver /06/01 株式会社シャノン Copyright SHANON Co., Ltd. All Rights Reserved.

Microsoft PowerPoint - shib-training-r13_ pptx[読み取り専用]

改版履歴 版数 日付 内容 担当 V /0/27 初版発行 STS V..0 20/03/04 トラブルシューティング改訂 STS P-2

Windows PC VPN ユーザー向け手順書 SoftEther VPN (SSL-VPN) を用いた筑波大学 VPN サービスへの接続方法 学術情報メディアセンター VPN ユーザーマニュアルから Windows PC 向けの情報だけを詳細に説明した設定手順書を作成いたしましたのでご利用くださ

セキュリティ 360 Powered by Symantec インストールマニュアル 第 9 版 2016 年 7 月 19 日 1

Confidential

セットアップガイド

Agenda 本資料では 以下の内容を説明します この資料での説明範囲 概要 0. はじめに INAZUMA 認証 Systems を初めてご利用になる方は 必ずお読みください 事前準備 1. 事前連絡メールを受信ユーザ申請が受理されると届く通知メールです 2. クライアント証明書をインストールクラ

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

セキュリティベーシック Powered by Symantec インストールマニュアル 第 8 版 2015 年 8 月 3 日 1

項番 現象 原因 対応手順書など 4 代理店コードでのダウンロード時に以下のメッセージの画面が表示される サービス時間外のため 現在 このサービスはご利用になれません 当機能のサービス時間外です 以下の時間帯にダウンロードしてください 月曜日 ~ 金曜日 7:00~21:00 土曜日 7:00~17

クラウドファイルサーバーデスクトップ版 インストールマニュアル 利用者機能 第 1.2 版 2019/04/01 富士通株式会社

証明書ダウンロードシステム操作手順書 (ios) 第 1.15 版 証明書ダウンロードシステム 操作手順書 (ios) Ver1.15 セキュアネットワークサービス 2018 年 10 月 29 日 セキュアネットワークサービス 1 DLS-SNT-IOS-V1.15

文書番号: NWT KO001

ライセンス認証ガイド Windows 10 Pro 本書は Download Station から Windows10 のライセンス情報をダウンロ ドし インストール済みの Windows 10 に適用する手順を記載しています 本手順は学内ネットワークに接続した状態で行う必要があります 認証プログラ

目次 1. よくあるご質問一覧 回答一覧 改訂履歴 Page- 2

Ver.60 改版履歴 版数 日付 内容 担当 V /7/8 初版発行 STS V..0 04// Windows 8. の追加 STS V..0 05//5 Windows XP の削除 STS V.30 05/8/3 体裁の調整 STS V.40 05//9 Windows0 の追加

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

汎用プロキシ利用案内 汎用プロキシ利用案内 目次 汎用プロキシ利用案内 はじめに 汎用プロキシとは 利用可能なポート 概要 動作環境 インストール Windows <I

OS の bit 数の確認方法 - Windows0 及び Windows8. Windows のコントロールパネルを開きます Windows0 の場合 スタート から Windows システムツール の コントロールパネル をクリックします Windows8. の場合 スタート から PC 設定

Stepguide15_shisa_guard.indd

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

1.InternetExplorer のバージョン確認手順 1 InternetExplorer を起動します 2 メニューバーより ヘルプ バージョン情報 を選択します メニューバーが表示されていない場合は F10 キーでメニューバーを表示してください 2

1

注意事項 (1)Windows 10 を使用する場合 注意事項 1 注意事項 3 注意事項 4 についてご対応をお願いします (2)Windows 8.1 を使用する場合 注意事項 2 注意事項 3 注意事項 4 についてご対応をお願いします (3)Windows 7 上で Internet Exp

サイボウズ Office「社外からアクセス」

4 自己登録 の画面が表示されたら 送信 をクリックします 5 アクションが完了しました : 成功 が表示されたら 画面を下にスクロールし 画面右下隅の OK をクリックします 6Windows 用または Mac 用のキャンパスクラウドエージェントをクリックしてダウ ンロードしてください 8 ダウン

Canon Mobile Scanning MEAP Application インストールについて

Microsoft Word - Android認証設定手順(EAP-TLS)1105.doc

改訂履歴 項番版数変更理由変更箇所作成日備考 初版 分冊化 事前準備編 Internet Explorer 版 事前準備編 Netscape 版 操作手順編 ベンダサポート終了 2.2 WinNT サポート終了 新規サポート

PowerPoint プレゼンテーション

はじめに 商業登記電子認証ソフトは, 商業登記に基づく電子認証制度に係る会社 法人の代表者等の電子証明書を取得するために使用する専用ソフトウェアで, 法務省が提供するものです 商業登記電子認証ソフトを用いることにより, 電子証明書の発行申請に必要となるファイルの作成及び電子証明書の取得 ( ダウンロ

平成 31 年 2 月 22 日 岐阜県電子入札システムクライアント PC の Internet Explorer 11 設定手順 ( 受注者用 ) 岐阜県電子入札システムを利用するには インターネットエクスプローラーの設定を行う必要があります 設定項目の一覧 ( クリックすると説明箇所へジャンプし

BACREX-R クライアント利用者用ドキュメント

PALNETSC0184_操作編(1-基本)

ご利用の前に 目次 推奨環境とソフトウェアのバージョン 推奨環境について Windows8 Windows8.1 について Internet Explorer のバージョン確認 SAMWEB の初期設定 セ

Ⅰ OUTLOOK 2013設定 1.OUTLOOK2013を起動します 4.次へをクリックします ①ファイルをクリック 2.アカウント情報を設定します ①電子メールアカウント欄にチェックが入っていることを確認する ②次へをクリック 5.アカウントを手動設定します ①アカウント設定をクリック ②アカ

Thunderbird 利用 Windows Mac 共通 Thunderbird を利用した移行は Web メールのフォルダを階層化している場合 移行ができない場合があります この場合の移行は Outlook を利用した移行で行ってください メールの移行マニュアル 本書は Office 365 導

easyhousing 環境設定 操作マニュアル Ver 年 7 月 2 日

インターネットファームバキグ 電子証明書ガイドブック ~証明書取扱手順編~ - 契約会社向け -(対応 OS :Windows 8)

Transcription:

サイボウズ株式会社 第 1 版

目次 1 はじめに...2 2 前提...2 3 事前準備...3 3.1 cybozu.com 環境の準備...3 3.2 Service Provider メタデータのダウンロード...4 4 Shibboleth のインストール...4 5 Shibboleth のセットアップ...4 5.1 relying-party.xml...4 5.2 attribute-resolver.xml, attribute-filter.xml...6 5.3 cybozu.com 共通管理の設定...7 5.4 ユーザーアカウントの作成...8 6. cybozu.com へのアクセス...9 1

1 はじめに Shibboleth は 学術認証フェデレーション ( 学認 :GakuNin) で標準的に利用されて いるシングルサインオンを実現するためのソフトウェアです 学術認証フェデレーション https://www.gakunin.jp/ Shibboleth は SAML を利用しているため cybozu.com との連携が可能です 本書では Shibboleth を使って cybozu.com へシングルサインオンを行う手順を説明し ます Shibboleth は IdP と SP の機能を持ちます 本書の構成は Shibboleth が IdP cybozu.com が SP となります 2 前提 学認 (Shibboleth) との連携について 基本的な手順を把握されている方を対象としています cybozu.com の連携に必要な箇所のみ記載していますので 記載されていない内容については 学認の技術ガイドに従い 設定を行って下さい 設定ファイルの変更箇所のみ記載しています サービスの再起動等は適時実施して下さい クライアント PC の OS は Windows 7 Professional(SP1) ブラウザは Internet Explorer 11 で確認を行っています 2

SAML を使った連携の流れは以下の通りです 1. ユーザーが cybozu.com にアクセスします 2. cybozu.com が SAML リクエストを生成します 3. ユーザーが SP(cybozu.com) から SAML リクエストを受け取ります 4. IdP(Shibboleth) がユーザーを認証します 5. IdP(Shibboleth) が SAML レスポンスを生成します 6. ユーザーが IdP(Shibboleth) から SAML レスポンスを受け取ります 7. SP(cybozu.com) が SAML レスポンスを受け取り 検証します 8. SAML レスポンスの内容に問題がない場合は ユーザーが cybozu.com にログ インした状態になります 3 事前準備 3.1 cybozu.com 環境の準備 cybozu.com に環境が必要となります 環境が無い場合は サイボウズドットコムストア から試用環境を申し込んで下さい サイボウズドットコムストア https://www.cybozu.com/jp/service/com/trial/ お試しになるサービス は任意のサービスを選択して下さい 本書ではドメインを gakunin-test.cybozu.com と設定しました 3

3.2 Service Provider メタデータのダウンロード 後の手順で必要となる Service Provider メタデータをダウンロードしておきます 1. cybozu.com 共通管理に cybozu.com 共通管理者でログインします 2. システム管理 > セキュリティ > ログイン 画面に移動し SAML 認証を有効にする にチェックを入れます 3. Service Provider メタデータのダウンロード をクリックし spmetadata.xml を保存します ダウンロードが完了したらブラウザは終了して構いません 4 Shibboleth のインストール 詳細手順は割愛します 学認の技術ガイドに記載された手順に従って実施して下さい VMware イメージを利用した構築 https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageid=12158255 本書ではホスト名を cybozu.example.ac.jp としています 5 Shibboleth のセットアップ Shibboleth の設定ファイルを cybozu.com との連携用に変更します 5.1 relying-party.xml 1. cybozu.com メタデータの参照 <metadata:metadataprovider id="shibbolethmetadata" xsi:type="metadata:chainingmetadataprovider"> 4

上記の子要素として以下を追記します <MetadataProvider xsi:type="filesystemmetadataprovider" xmlns="urn:mace:shibboleth:2.0:metadata" id= CybozuCom" metadatafile="/opt/shibboleth-idp/metadata/spmetadata.xml" /> id には設定ファイル内でユニークとなる値を記述します 3.2 Service Provider メタデータのダウンロード でダウンロードした ファイルを Shibboleth サーバーの /opt/shibboleth-idp/metadata に保存 し metadatafile に指定します 2. アサーションの署名 暗号化の設定 以下の手順に従い cybozu.com 用の設定を追記します 特定の SP へのアサーションを暗号化しない設定 https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageid=1022 6458#id- 設定 運用 カスタマイズ- 特定の SP へのアサーションを暗号化しない設定 設定例 <RelyingParty id=" https://gakunin-test.cybozu.com" provider=" https://cybozu.example.ac.jp/idp/shibboleth" defaultsigningcredentialref="idpcredential"> <ProfileConfiguration xsi:type="saml:saml2ssoprofile" includeattributestatement="true" assertionlifetime="300000" assertionproxycount="0" signresponses="conditional" signassertions="never" encryptassertions="never" encryptnameids="never" /> </RelyingParty> 5

補足 cybozu.com の仕様は以下の通りとなっています レスポンス アサーションのいずれかに署名が必要 signresponses signassertions のいずれかが conditional もしくは always になっている必要があります アサーションを暗号化しない encryptassertions encryptnameids の両方が never になっている必要があります 5.2 attribute-resolver.xml, attribute-filter.xml 1. NameID に edupersonprincipalname(eppn) を設定する以下の手順に従い cybozu.com 用の設定を追記します 特定の SP に対し eppn を NameID に入れて送る設定方法 https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageid=1022 6458#id- 設定 運用 カスタマイズ- 特定の SP に対し eppn を NameID に入れて送る設定方法 設定例 (attribute-resolver.xml) <resolver:attributedefinition id= nameideppn xsi:type= Template xmlns="urn:mace:shibboleth:2.0:resolver:ad"> <resolver:dependency ref="edupersonprincipalname"/> <resolver:attributeencoder xsi:type="saml2stringnameid" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" nameformat="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" /> <Template> <![CDATA[ ${edupersonprincipalname}@example.ac.jp ]]> </Template> <SourceAttribute>eduPersonPrincipalName</SourceAttribute> </resolver:attributedefinition> 設定例 (attribute-filter.xml) <afp:attributefilterpolicy id="policyforcybozucom" xmlns:afp="urn:mace:shibboleth:2.0:afp"> <afp:policyrequirementrule xsi:type="basic:attributerequesterstring value="https://gakunin-test.cybozu.com" /> 6

<afp:attributerule attributeid="transientid"> <afp:denyvaluerule xsi:type="basic:any" /> </afp:attributerule> <afp:attributerule attributeid="nameideppn"> <afp:permitvaluerule xsi:type="basic:any" /> </afp:attributerule> </afp:attributefilterpolicy> id には設定ファイル内でユニークなる値を記述します 補足 (NameID に eppn を渡す理由 ) cybozu.com ではログイン時にユーザーを一意に識別する情報として ログイン名 を使います SAML を使った連携時は SAML レスポンスの NameID の値が ログイン名 と一致している必要があります 通常 Shibboleth では NameID として transientid( ログインの度に異なる ID が割り当てられる ) が使われますが ユーザーを一意に識別できません そのため cybozu.com との連携においては ユーザーの識別が可能な eppn を NameID として受け渡す方法を採用しています 5.3 cybozu.com 共通管理の設定 1. cybozu.com 共通管理に cybozu.com 共通管理者でログインします 2. システム管理 > セキュリティ > ログイン 画面に移動し SAML 認証を有効にする にチェックを入れます 3. 以下のように設定し 保存 をクリックします 設定項目設定内容 設定例 Identity ProviderのSSOエンドポイ IdPのエンドポイントURLを指定します ントURL(HTTP-Redirect) https://cybozu.example.ac.jp/idp/profile/sam L2/Redirect/SSO cybozu.com からのログアウト後 IdPのログアウトURLを指定します に遷移する URL 検証時はダミーのURLを指定しました Identity Providerが署名に使用 IdPが署名時に使う証明書を指定します する公開鍵の証明書 /opt/shibboleth-idp/credentials/server.crt を使うか 学認申請システムに入力したものを使います 7

5.4 ユーザーアカウントの作成 cybozu.com にユーザーアカウントを作成します ShibbolethをVMイメージから構築した場合 LDAPにユーザーが作成済みのため そのユーザーを利用します 1. 以下の手順に従い ユーザーを追加します ユーザーを追加する / cybozu.com ヘルプ https://help.cybozu.com/ja/general/admin/add_user.html 前述の通り Shibboleth の eppn を NameID として受け渡しますので cybozu.com の ログイン名 として eppn と同じ情報を設定します 8

6. cybozu.com へのアクセス 1. クライアント PC で Internet Explorer を起動し cybozu.com にアクセスします 2. Shibbolethのログイン画面にリダイレクトされます 3. Shibboleth にログインします 4. シングルサインオンが行われ cybozu.com へログインされます 9

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック