[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01186] Re: テストフェデレーションでgakuninScopedPersonalUniqueCodeが受信できません



国立情報学研究所 学認事務局 水元です。

株式会社ニューロテクノロジー 櫻木様のこちらのご質問ですが、テスト用IdPおよびSPについてのものですので、事務局にてご対応させていただきたいと思います。

櫻木様宛に事務局よりご連絡させていただきますので、ご確認くださいますようお願い申し上げます。

なお、テスト用IdPは以下のような挙動をとります。ご参考ください。

----------
SP接続テスト用IdPではgakuninScopedPersonalUniqueCodeをサポートしています。

SP接続テスト用IdPの設定では、gakuninScopedPersonalUniqueCodeを含む全ての属性は、以下のどちらかの場合に属性を送信します。

    対象の属性を受信する属性情報(*1)に設定している場合
    受信する属性情報をひとつも設定していない場合

test-sp1は受信する属性情報としてgakuninScopedPersonalUniqueCodeを設定していませんのでNOT RECEIVEDになるのは意図した挙動です。
一方、test-sp2は受信する属性情報を設定していませんので、gakuninScopedPersonalUniqueCodeを含め、test-idp1から送付される全ての属性が表示されます。
(ただし、テストアカウント(test001~test003)にisMemberOf属性は設定されていませんので、これだけはtest-sp2でもNOT RECEIVEDとなります。)

(*1) 学認申請システム申請時に設定するもので、メタデータ上には<RequestedAttribute>として記載されてます。

----------
----
MIZUMOTO, Akinori
xxxxxxxxxxxxxx@xxxxxxxxx


On 2017/10/24 11:42, 櫻木祥道 wrote:
株式会社ニューロテクノロジーの櫻木です。
お世話になっております。

現在、SPの構築を進めています。
先日、テストフェデレーション、OpenIDPへの接続テストで属性が全てNOT RECEIVEDになる件で、フォローいただき、organizationNameの属性についてはっ 受信できるようになりました。
  ( https://www.gakunin.jp/ml-archives/upki-fed/msg01169.html )

しかし、gakuninScopedPersonalUniqueCodeの受信ができず、NOT RECEIVEDに なってしまい、解決できません。

環境
-------------
サーバー     AWS
OS         CentOS Linux release 7.4.1708 (Core)
PHP         PHP 5.4.16 (cli) (built: Nov  6 2016 00:29:02)
Apache        Apache/2.4.6 (CentOS)
Shibboleth    shibboleth 2.6.0
証明書は商用証明書

状況
-------------
・テストフェデレーションのOpenIDPの申請では、受信する属性情報として、 organizationNameとgakuninScopedPersonalUniqueCodeの2個を申請して承認さ れています。
・attribute-map.xml には以下を追加しました
    <Attribute name="urn:oid:1.3.6.1.4.1.32264.1.1.6" id="gakuninScopedPersonalUniqueCode">
         <AttributeDecoder xsi:type="ScopedAttributeDecoder"/>
     </Attribute>
    <Attribute name="urn:mace:dir:attribute-def:gakuninScopedPersonalUniqueCode" id="gakuninScopedPersonalUniqueCode"/>

・attribute-policy.xmlには、以下を追加しました
         <afp:AttributeRule attributeID="gakuninScopedPersonalUniqueCode">
             <afp:PermitValueRuleReference ref="ScopingRules"/>
         </afp:AttributeRule>

・GakuNin テスト IdPで、test001でログインしたところ、organizationNameの みが受信でき、gakuninScopedPersonalUniqueCode含め他は全てNOT RECEIVEDに なっています。(test002,test003も同様です)

※エラーログについては、/var/log/shibboleth/shibd_warn.log には起動時に
WARN Shibboleth.Application : insecure cookieProps setting, set to "https" for SSL/TLS-only usage

WARN Shibboleth.Application : handlerSSL should be enabled for SSL/TLS-enabled web sites
の2項目がロギングされその後はありません。

疑問点
-------------
GakuNin テスト IdPでは、gakuninScopedPersonalUniqueCodeについてサポート されているのでしょうか。それとも、まだ設定内容に不備がありますでしょうか。
テスト用のSP
https://test-sp1.gakunin.nii.ac.jp/secure/index.php
から確認しても、やはりgakuninScopedPersonalUniqueCodeはNOT RECEIVEDにな りますので、設定の問題ではなく、テストIdPでサポートされていない属性かと も疑っております。 もし、そうであれば、gakuninScopedPersonalUniqueCode をテストしたい場合 で弊社のようにIdPを持っていない場合のテスト方法はございますでしょうか。


学認および、Shibbolethや認証全般についての知識が十分ではないため質問の的 を外しているかもしれません。
恐れ入りますがよろしくお願い申し上げます。
-----------------------------------------
     (株)ニューロテクノロジー
      櫻  木    祥  道
    E-Mail. xxxxxxxx@xxxxxxxxxxxxxxxxxxxx
   650-0031 神戸市中央区東町116-1
                シティライフ三宮ビル6F
   Tel.078-325-8616  Fax.078-325-8617
-----------------------------------------