[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00627] Re: テストフェデレーション登録時のSP側の証明書



西村です。

以前私が書いたことに関しまして若干認識が誤っておりましたので訂正させていただきます。

>> 学認では、IdPで生成した利用者の属性等の情報(アサーション)を、SPに送る際に暗号化して
>> 送信することを基本としています。この暗号化のためにSPの証明書が必須となります。
>> これは、アサーションを誤って第三者に渡さないようにするために重要なものだと認識しています。
>> もし、この部分で制限が厳しすぎる等のご意見がございましたら是非お寄せください。

上記につきまして、以下のシステム運用基準で定められている通り「すべきである(SHOULD)」
でありますので、暗号化できないからといって学認に参加できないということはございません。
しかしながらShibboleth IdPのデフォルト設定では全てのSPに対して暗号化するようになって
おりますので、各IdP管理者に個々のSPに対して固有の設定を追加(*)してもらう必要があります。

https://www.gakunin.jp/docs/files/GakuNin_System_SpecV1.2.pdf
> 2.2) 認証応答
> ...
> さらに,認証アサーションに対して,暗号化をすべきである。

とはいえ、Google AppsやOffice 365など、アサーションを暗号化しないように案内して
いるSPもそれなりにあるようです。暗号化しないということは、httpsの信頼性に依存する、
つまりWebTrust for CAのどこかの認証局がやられれば万が一にもその影響を受けるという
ことですので、その点ご承知おきください。

(*) - relying-party.xmlの
</DefaultRelyingParty>
の後に追加。
設定内容はIdPにより異なるため、上方にあるDefaultRelyingPartyにある内容をコピーして挿入し、
encryptAssertionsおよびencryptNameIdsを"never"に変更するとよいでしょう。以下に例を示します。

<RelyingParty id="SPのentityID"
    provider="IdPのentityID"
    defaultSigningCredentialRef="IdPCredential">
    ...
    <ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
        includeAttributeStatement="true"
        assertionLifetime="300000"
        assertionProxyCount="0"
        signResponses="conditional"
        signAssertions="never"
        encryptAssertions="never"
        encryptNameIds="never" />
    ...
</RelyingParty>


(2013/03/14 13:30), Koji Asaga wrote:
> NII西村様
> 
> お世話になっております。
> サイボウズの浅賀です。
> 
> 早速のご返答ありがとうございました。
> 仕様について理解できました。
> 現状の弊社サービスの仕様では、IdP側で暗号化する仕様があると対応ができない
> 状況という事になりますね。
> #以下で西村様が記載されていた証明書の役割について、参考にさせて頂きました。
>  https://www.gakunin.jp/ml-archives/upki-fed/msg00271.html
> 
> 今後の進め方につきましては、一度社内で検討させて頂き、
> ご相談させて頂きたいと思います。
> 
> ----- Original Message -----
> Subject: [upki-fed:00625] Re: テストフェデレーション登録時のSP側の証明書
> Date: Thu, 14 Mar 2013 11:03:42 +0900
> From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
> To: xxxxxxxx@xxxxxxxxx
> Takeshi NISHIMURA wrote:
>> 浅賀様
>> NIIの西村です。どうぞよろしくお願いします。
>>
>> 学認では、IdPで生成した利用者の属性等の情報(アサーション)を、SPに送る際に暗号化して
>> 送信することを基本としています。この暗号化のためにSPの証明書が必須となります。
>> これは、アサーションを誤って第三者に渡さないようにするために重要なものだと認識しています。
>> もし、この部分で制限が厳しすぎる等のご意見がございましたら是非お寄せください。
>>
>> とはいえテストフェデレーションですので、その他の部分が機能するかの確認はしておきたいものだ
>> と思います。学認が提供しているテスト用IdP「GakuNinテストIdP」について上記暗号化を特定の
>> SPに対して無効化することが可能ですので、その旨事務局までお知らせください。
>> この場合、システムの都合上申請時に証明書を空にすることができませんので、Webサイトの証明書等
>> 適当なものを入れていただけましたら幸いです。
>>
>> ご不明な点がありましたらお知らせください。
>>
>> On 2013/03/14, at 10:36, Koji Asaga <xxxxxxxxxx@xxxxxxxxxxxx> wrote:
>>
>>> はじめまして、サイボウズの浅賀と申します。
>>>
>>> 弊社はグループウェアのパッケージベンダーで、1年ほど前から
>>> cybozu.comというクラウドサービスを展開しております。
>>>
>>> つい先日となりますが、cybozu.comがSAMLに対応したため、学認との
>>> 連携可否を確認するため、テストフェデレーションのSP申請を行おうと
>>> しました。
>>>
>>> その際、SP側の証明書が必須となっておりますが、弊社サービスでは
>>> SP側の処理において暗号化や署名を行なっていないため、証明書が存在しません。
>>>
>>> このような状況だと学認との連携はできないものでしょうか?
>>>
>>> 何分、知識不足なため見当違いなご質問をしていた場合はご容赦下さい。
>>>
>>> 宜しくお願い致します。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890