[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00431] ADFSのIdPを利用してシボレスSPへの認証を実現する方法
- Subject: [upki-fed:00431] ADFSのIdPを利用してシボレスSPへの認証を実現する方法
- Date: Mon, 23 Jan 2012 18:53:51 +0900
- From: Tomohiro Ito <xxxxxxxx@xxxxxxxxxxxxxxxxxxx>
皆様
お世話になっております.山形大学の伊藤です.
ADFSのIdPを利用して,シボレスSPへの認証が
実現できることがわかりましたので,報告します.
#もし,間違いやよいアイディアがありましたら,
#教えていただけますと助かります.
各SPのごとのEntityDescriptorを修正することで、
ADFSにメタデータを読み込ませることが可能である。
また、ADFSは、各SPごとに、メタデータを管理する
URLを設定する方式であるため、SPごろにユニークな
メタデータを生成し,そのURLをADFSのIdPに設定する.
本学のフェデレーション実験完了では,データベースによって
メタデータを管理しているので、SP毎に,ADFS IdPに対応した
メタデータを自動生成するようにした。
・ADFS IdPに提供するSPのメタデータ(1つ目のSP)は、
下記のURLのように変更した。
https://a.yamagata-u.ac.jp/amenity/network/AdfsSPMetadataXml.aspx?SPID=11
次のADFS 2.0のIdPで、下記ようなコマンドで、登録する。
このコマンドも,データベースより自動生成することによって,
IdPの管理者は,比較的負担が少なく登録できる.
Add-ADFSRelyingPartyTrust -Name c.yz.yamagata-u.ac.jp -MetadataURL https://a.yamagata-u.ac.jp/amenity/network/AdfsSPMetadataXml.aspx?SPID=11 -AutoUpdateEnabled 1 -MonitoringEnabled 1 -IssuanceAuthorizationRules '@RuleTemplate="AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value="true");'
あとは、ADFSのIdPでは、自動的にURLを参照しながら、
メタデータは、更新されるはずである.(現在,検証中)
以上.簡単ですが,ご報告いたします.
------------------------------------------------
山形大学 大学院理工学研究科 伊藤智博/ Tomohiro Ito