(2010年12月14日追記) SPの設定手順にhttpdの再起動を追加しました。
学認では、これまでもシステム運用基準に基づいて IdP/SP の運用を行って頂いているところではございますが、平成22年度にそれまでの試行運用から本格運用へ移行したことを受けて、このたび学術認証フェデレーションにおける新しいシステム運用基準を公開させて頂きました。
学認では、本格運用への移行を機に、新たに運用タスクフォースを発足させました。以前よりフェデレーションの活動にご理解、ご協力頂いている13機関の基盤センターや図書館には、利用者の代表の立場での委員を依頼し、学認の活動に関する様々な検討を委嘱しています。今回の新しい運用基準につきましても、運用タスクフォースにおいて時間をかけて見直しを行った末、公開する運びとなった次第です。
変更の要点について、以下にご説明させて頂きますが、運用基準の変更は各IdP/SPの設定に影響のある内容も含んでおります。各IdP/SP管理者の皆様におかれましては、スムーズな移行のためにも、移行期間中の速やかな設定変更にご対応頂くとともに、移行後は、新しい運用基準に基づいた適切な運用をお願いいたします。
※今回のご連絡は、運用フェデレーションに関するものです。
テストフェデレーションについては、メタデータURL・署名証明書・DS URL等が異なります。詳細は以下をご参照ください。
⇒テストフェデレーションの概要とルール
目次
- 新しいシステム運用基準の公開
- IdP管理者が行わなければならないこと
- SP管理者が行わなければならないこと
- 移行期間
- その他連絡事項
■ 1.新しいシステム運用基準の公開
掲載先URL:http://www.gakunin.jp/join/
学認の安全性を高め信頼性を上げるために、運用タスクフォースによって多くの項目の見直しが行われました。みなさまにもあらためてご一読いただきますようお願いいたします。
■ 2.IdP管理者が行わなければならないこと
新しいシステム運用基準に合わせて、以下の設定変更が必要となります。
全ては設定ファイル relying-party.xml(/opt/shibboleth-idp/conf/にあります)に対する変更になります。
2-1.学認メタデータURLの変更
運用フェデレーションのメタデータ配布用URLが変更となります。
relying-party.xml中で
| <MetadataProvider id="URLMD" ... metadataURL="https://upki-repo.nii.ac.jp/Metadata/upki-fed-metadata-signed.xml" ... |
となっている部分のmetadataURL属性を
| <MetadataProvider id="URLMD" ... metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" ... |
に変更してください。
参考:https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158410
後述する移行期間終了後は、旧URLはアクセスできなくなります。
2-2.署名証明書の更新
前項の新URLで配布されるメタデータは、新しい署名鍵にて署名されたものとなります。それに伴い、検証用の署名証明書の変更が必要となります。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158231
から新しい署名証明書をダウンロードし/opt/shibboleth-idp/credentials/等に置き、relying-party.xml中の
| <security:Certificate>/opt/shibboleth-idp/credentials/ upki-fed-signer-ca-20090204.cer</security:Certificate> |
となっている部分を探して新しいファイル名(gakunin-signer-2010.cer)に変更してください。
参考:https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158410
2-3.メタデータダウンロード間隔の変更
学認のIdP-SP間の信頼性を維持するため、またSPの追加・設定変更に追随するために、学認のメタデータは1日1回程度、定期的にダウンロードすることが推奨されます。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158513
のIdPの手順を参考に、現在の設定を確認の上、必要であれば設定変更を行ってください。
2-4.メタデータのvalidUntilを検証するための設定変更
新しい運用基準に基づいて配布されるメタデータには、その有効期限を示すvalidUntil属性が記述されます。これは、古いメタデータを誤って信頼しないための仕組みです。
以下のページのIdPの項目を参考に、IdP側で有効期限内であることを確認する機能を有効にしてください。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158292
2-1~2-4の変更後は、tomcat の再起動が必要になります。
■ 3.SP管理者が行わなければならないこと
新しいシステム運用基準に合わせて、以下の設定変更を行っていただきます。
全ては設定ファイル shibboleth2.xml(/etc/shibboleth/にあります)に対する変更になります。
※以下はバージョン2.1以上を対象としています。
3-1.学認メタデータURLの変更
運用フェデレーションのメタデータ配布用URLが変更となります。
shibboleth2.xml中で
| <MetadataProvider type="XML" uri="https://upki-repo.nii.ac.jp/ Metadata/upki-fed-metadata-signed.xml" |
となっている部分のuri属性を
| <MetadataProvider type="XML" uri="https://metadata.gakunin.nii.ac.jp/ gakunin-metadata.xml" |
に変更してください。
参考:https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=13501404
3-2.署名証明書の変更
前項の新URLで配布されるメタデータは、新しい署名鍵にて署名されたものとなります。それに伴い、検証用の署名証明書の変更が必要となります。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158231
から新しい署名証明書をダウンロードし/etc/shibboleth/cert/に置き、shibboleth2.xml中の
| <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/ upki-fed-signer-ca-20090204.cer"/> |
となっている部分を探して新しいファイル名(gakunin-signer-2010.cer)に変更してください。
参考:https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=13501404
3-3.DS URLの変更
運用フェデレーションのDS(Discovery Service)のURLが変更となります。
shibboleth2.xml中で
| <SessionInitiator type="SAMLDS" URL="https://upki-ds.nii.ac.jp/ds/WAYF"/> |
となっている部分のURL属性を
| <SessionInitiator type="SAMLDS" URL="https://ds.gakunin.nii.ac.jp/WAYF"/> |
に変更してください。(ホスト名だけでなくパスの"ds/"の部分が削られていることにご注意ください)
参考:https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158266
旧DSのURLは、移行期間終了後はアクセスできなくなります。
3-4.メタデータダウンロード間隔の変更
IdPの場合と同様、学認のIdP-SP間の信頼性を維持するため、またIdPの追加・設定変更に追随するために、学認のメタデータは1日1回程度、定期的にダウンロードすることが推奨されます。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158513
のSPの手順を参考に、現在の設定を確認の上、必要であれば設定変更を行ってください。
3-5.メタデータのvalidUntilを検証するための設定変更
新しい運用基準に基づいて配布されるメタデータには、その有効期限を示すvalidUntil属性が記述されます。これは、古いメタデータを誤って信頼しないための仕組みです。
以下のページのSPの項目を参考に、SP側で有効期限内であることを確認する機能を有効にしてください。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158292
3-1~3-5の変更後は、shibd および httpd の再起動が必要になります。
※httpdを再起動しないとDS URLの変更が反映されません。
■ 4.移行期間
従来のDSの運用および旧メタデータの提供は、2011年1月末まで行うことを予定しています。それまでの間は、従来通りご利用頂くことは可能です。ただし旧メタデータについてはエンティティの追加・削除等の更新は行われませんので、新しく学認に参加された IdP/SP との間でのサービス利用はできない状態となります。
IdP/SP 管理者のみなさまにおかれましては移行期間内であってもできるだけ早急に上記設定変更をお願いいたします。
■ 5.その他連絡事項
1) 送信属性確認Webサイトの公開
運用フェデレーションにおいて、構築したIdPが送信する属性の内容を確認するためのSP(テスト用SP)を用意しましたので、適宜ご利用ください。
- Shibboleth 2.0(SAML 2.0)プロトコルでの属性送受信用:
https://attrviewer20.gakunin.nii.ac.jp/
(entityID: https://attrviewer20.gakunin.nii.ac.jp/shibboleth-sp) - Shibboleth 1.3プロトコルでの属性送受信用:
https://attrviewer13.gakunin.nii.ac.jp/
(entityID: https://attrviewer13.gakunin.nii.ac.jp/shibboleth-sp)
※これまで旧テストSP(attrviewer20/13.nii.ac.jp)をご利用いただいていた方は、今後は移行期間にかかわらず上記SPをご利用ください。その際entityIDが変更になりますので属性フィルタリング設定の変更漏れにご注意ください。
2) 個人情報保護パンフレットの公開
学認と個人情報保護法を理解し、法を遵守した運用を行うためのパンフレットをご用意しましたので、適宜ご活用ください。
掲載先URL: http://www.gakunin.jp/join/
3) 学認ウェブサイトと事務局連絡先メールアドレスの変更
- 学認のウェブサイトをUPKIイニシアティブから移行しましたので、今後はこちらをご参照ください。
http://www.gakunin.jp/
- 事務局へ連絡いただく際のメールアドレスは、今後はこちらをご利用ください。
まで
【本件に関する問い合わせ先】
国立情報学研究所学術基盤推進部 学術基盤課 連携基盤チーム
