[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00431] ADFSのIdPを利用してシボレスSPへの認証を実現する方法



皆様

お世話になっております.山形大学の伊藤です.

ADFSのIdPを利用して,シボレスSPへの認証が
実現できることがわかりましたので,報告します.

#もし,間違いやよいアイディアがありましたら,
#教えていただけますと助かります.

各SPのごとのEntityDescriptorを修正することで、
ADFSにメタデータを読み込ませることが可能である。
また、ADFSは、各SPごとに、メタデータを管理する
URLを設定する方式であるため、SPごろにユニークな
メタデータを生成し,そのURLをADFSのIdPに設定する.

本学のフェデレーション実験完了では,データベースによって
メタデータを管理しているので、SP毎に,ADFS IdPに対応した
メタデータを自動生成するようにした。

・ADFS IdPに提供するSPのメタデータ(1つ目のSP)は、
下記のURLのように変更した。

https://a.yamagata-u.ac.jp/amenity/network/AdfsSPMetadataXml.aspx?SPID=11

次のADFS 2.0のIdPで、下記ようなコマンドで、登録する。
このコマンドも,データベースより自動生成することによって,
IdPの管理者は,比較的負担が少なく登録できる.

Add-ADFSRelyingPartyTrust -Name c.yz.yamagata-u.ac.jp -MetadataURL https://a.yamagata-u.ac.jp/amenity/network/AdfsSPMetadataXml.aspx?SPID=11 -AutoUpdateEnabled 1 -MonitoringEnabled 1 -IssuanceAuthorizationRules '@RuleTemplate="AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value="true");'

あとは、ADFSのIdPでは、自動的にURLを参照しながら、
メタデータは、更新されるはずである.(現在,検証中)

以上.簡単ですが,ご報告いたします.

------------------------------------------------
山形大学 大学院理工学研究科 伊藤智博/ Tomohiro Ito