[upki-fed:00431] ADFSのIdPを利用してシボレスSPへの認証を実現する方法

[Tomohiro Ito <xxxxxxxx@xxxxxxxxxxxxxxxxxxx>]

皆様

お世話になっております．山形大学の伊藤です．

ADFSのIdPを利用して，シボレスSPへの認証が
実現できることがわかりましたので，報告します．

＃もし，間違いやよいアイディアがありましたら，
＃教えていただけますと助かります．

各SPのごとのEntityDescriptorを修正することで、
ADFSにメタデータを読み込ませることが可能である。
また、ADFSは、各SPごとに、メタデータを管理する
URLを設定する方式であるため、SPごろにユニークな
メタデータを生成し，そのURLをADFSのIdPに設定する．

本学のフェデレーション実験完了では，データベースによって
メタデータを管理しているので、SP毎に，ADFS IdPに対応した
メタデータを自動生成するようにした。

・ADFS IdPに提供するSPのメタデータ（１つ目のSP)は、
下記のURLのように変更した。

https://a.yamagata-u.ac.jp/amenity/network/AdfsSPMetadataXml.aspx?SPID=11

次のADFS 2.0のIdPで、下記ようなコマンドで、登録する。
このコマンドも，データベースより自動生成することによって，
IdPの管理者は，比較的負担が少なく登録できる．

Add-ADFSRelyingPartyTrust -Name c.yz.yamagata-u.ac.jp -MetadataURL https://a.yamagata-u.ac.jp/amenity/network/AdfsSPMetadataXml.aspx?SPID=11 -AutoUpdateEnabled 1 -MonitoringEnabled 1 -IssuanceAuthorizationRules '@RuleTemplate="AllowAllAuthzRule" => issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value="true");'

あとは、ADFSのIdPでは、自動的にURLを参照しながら、
メタデータは、更新されるはずである．（現在，検証中）

以上．簡単ですが，ご報告いたします．

------------------------------------------------
山形大学　大学院理工学研究科　伊藤智博/ Tomohiro Ito