テストフェデレーションの概要とルール

 

テストフェデレーションの概要

  
   

テストフェデレーションは下記を目的として提供しています.

  1. 運用フェデレーションへの参加準備として,構築したShibbolethの環境の動作確認や挙動の確認を行う接続試験.
  2. エンティティ(IdP,SP)構築に利用するシステムの接続試験.
  3. SPが提供するサービス利用や運用に関する利用試験.
テストフェデレーションは,「学認実施要領」の第5条に該当する機関および上記を目的とした任意の機関(個人を含む)が利用可能です.

 

  
     
 
 

テストフェデレーションのルール

  
 
学認テストフェデレーション(テストFed)では,以下のルールに従い,IdP,ならびにSPの接続テストを実施下さい。

学認運用フェデレーションでは,別に定める「学認技術運用基準」にて運用基準を定めています。
テストFedのルールは,学認運用フェデレーションの学認技術運用基準を基本とした上で,下記に示す項目について,接続テスト向けに基準を変更・緩和しています。これらの相違点を,学認運用フェデレーションの学認技術運用基準と合わせてお読みください。

 

学術認証フェデレーション テストフェデレーションルール(Ver 1.1)


1. テストFedのシステム
テストFedでは,テスト環境として学認運用フェデレーション環境と独立した下記の各システムを利用します。


1.1) メタデータ (テストFed用のメタデータ) Name=”GakuNin-test”
     公開URL:https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml


1.2) フェデレーションメタデータ署名用の証明書
     テストFedでは下記の署名用証明書を利用します。

     公開URL:https://metadata.gakunin.nii.ac.jp/gakunin-test-signer-2020.cer
     SHA256 Fingerprint=FA:11:11:5B:EC:13:4D:55:85:AF:60:32:E1:6C:01:01:EF:9C:A0:
     6B:17:8C:8B:9C:7F:2B:69:41:EB:68:30:1E

     2020年12月17日以前は以下の証明書が使われていました。もうこの証明書は使われま
     せんのでこれが設定されている場合は上記証明書に切り替えてください。
     gakunin-test-signer-2011.cer
     SHA1 Fingerprint=36:B6:60:0A:EF:05:A9:BE:B2:E9:79:09:EC:E4:CB:A5:28:D5:DB:71


1.3) DS (テストFedで提供するディスカバリサービス)
     https://test-ds.gakunin.nii.ac.jp/WAYF


1.4) 属性表示サービス
     下記の属性表示サービスを提供します。
     アクセスURLにアクセスして,認証すると,認証したテストIdPから送信された属性の
     値を表示するサービスです。

    なお,これらのSPとIdPとの間でやりとりされる属性情報
    (氏名,メールアドレス等個人情報を含む)は,
    アクセスログに記録され,デバッグ用としてWeb上で公開されます。
    このため,必ずダミーのデータを用いてテストしてください。

     test-sp1:
       アクセスURL=”https://test-sp1.gakunin.nii.ac.jp
       エンティティID = ”https://test-sp1.gakunin.nii.ac.jp/shibboleth-sp
       プロトコル=shibboleth2.0

     test-sp2:
       アクセスURL=”https://test-sp2.gakunin.nii.ac.jp
       エンティティID = ”https://test-sp2.gakunin.nii.ac.jp/shibboleth-sp
       プロトコル=shibboleth2.0

     test-sp3:
       アクセスURL=”https://test-sp3.gakunin.nii.ac.jp
       エンティティID = ”https://test-sp3.gakunin.nii.ac.jp/shibboleth-sp
       プロトコル=shibboleth1.3

     (*) test-sp1,test-sp3では、IdPのテスト向けにShibboleth SPのアクセスログを
   表示する機能も用意しており,SP側で発生しているエラーの詳細等を
   確認することができます。


1.5) SP接続テスト用IdP
     構築したSPの接続テストのため、下記のテスト用IdPを提供します。
     SP管理者でご利用になりたい方は事務局までお問い合わせください。

     エンティティID = ”https://test-idp1.gakunin.nii.ac.jp/idp/shibboleth
     DSでの表示名 = 関東カテゴリの”GakuNin テスト IdP” 
   (英語表示の場合はKantoカテゴリの”GakuNin Test IdP”)



2.学認技術運用基準の緩和
下記の項目については,接続テストという目的のため,緩和したルールとします。


2.1) プロトコル
     テストFed全体に影響を与えない範囲で様々なプロトコルのテストを実施してもよい。


2.2) 属性情報
     テストFed全体に影響を与えない範囲で様々な属性情報を利用してもよい。


2.3) 信頼する認証局
     XML署名やTLS相互認証を行うための証明書は,各参加機関のシステム環境に合わせ,
   任意の証明書を利用してもよい。



3. セキュリティ
テストFedにおいて各参加機関のセキュリティを確保するため,本項に定める以下の事項について遵守して下さい。


3.1) テストアカウントの利用
     テストFedの利用においては,IdPにテスト用のアカウントとテスト用の属性を用意
     した上で利用して下さい。
     やむを得ず,実アカウントや実属性を利用する場合は,そのリスクを十分理解し,
     必要であれば利用する参加機関間で事前合意を行った上で,各機関の責任において
     利用して下さい。
     これは,テストFedでは,各エンティティはテストアカウントとテスト属性のみを
     扱うという想定で構築・運用されているものと考えられ,実アカウントや実属性を
     利用する場合に必要となる配慮が行われていない可能性が高く,個人情報漏洩等の
     リスクがあると考えられるからです。


3.2) 参加機関の責任
     テストFedに参加する各参加機関は,故意または重大な過失によるものを除き,接続
     テストにより生じた損害について責任を負わないものとします。
     なおこの規定は,参加機関の間で行う接続テストについての責任に関し別途の取り
     きめをすることを妨げるものではありません。



テストFedに参加