[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:324] Re: [upki-fed:323] 情報ポータルサイト infoScoop OpenSource の Shibboleth 化について
- Subject: [upki-fed:324] Re: [upki-fed:323] 情報ポータルサイト infoScoop OpenSource の Shibboleth 化について
- Date: Mon, 14 Feb 2011 16:38:46 +0900
- From: Toyokazu Akiyama <xxxxxxx@xxxxxxxxxxxxxxxxxx>
成城大学 江野様
京都産業大学の秋山です.
貴重な事例をご紹介いただきありがとうございます.
一点気になったので補足させていただきます.
以下の件名のメールで明治大学図書館の中林様が確認されているとおり,shibboleth2.xml に AJP_
の設定を追加していれば,Apache mod_shib 側でShibUseHeaders On
を設定しなくても環境変数にて属性の受け渡しができると思われます.
[upki-fed:314] Re: Webアプリケーションのシボレス化について
ShibUseHeaders On については,以下のページに書かれている通り,やむを得ない場合を除いて利用しない方が良いです.
https://spaces.internet2.edu/display/SHIB2/NativeSPApacheConfig
詳細な理由については,以下のページにもあるとおり,クライアントによって不正に追加された Header
属性により,不正にアクセスされてしまう可能性があるためです.
https://spaces.internet2.edu/display/SHIB2/NativeSPSpoofChecking
AJP が追加した属性(ヘッダではなく環境変数)はクライアントによって上書きできないので,このような危険性はありません.
以上です.
2011年2月14日15:47 江野智子 <xxxxxxxxxx@xxxxxxxxxxx>:
> お世話になっております。
> 成城大学 メディアネットワークセンターの江野と申します。
>
> 今回、学生向け大学ポータルサイトの構築に伴い、オープンソースである
> ビーコンIT社の情報ポータル infoScoop OpenSource を SP化してShibboleth
> 認証と連携させ、シングルサインオン化を実現することができました。
> infoScoop : http://www.infoscoop.org/index.php/ja/infoscoop.html
>
> SP構築については NII のShibboleth構築セミナーに参加させていただいたことで
> 有益な知識を得ることができ、大変参考になりました。
> また、infoScoop の Shibboleth化は、ビーコンIT社の木村氏のご助力により実現
> いたしました。
> 関係者の方々のご協力に大変感謝いたします。
>
>
> 以下に、簡単ですが構築手順を情報共有させていただきます。
>
>
> 前提条件:
>
> ・公開されているインストールマニュアルを参考に、サーバーに infoScoop を
> インストールします
> http://www.infoscoop.org/index.php/ja/manual/installation-guide.html
>
> ・同サーバに NII の技術ガイドを参考に、SPを構築します
> http://www.gakunin.jp/docs/fed/technical
>
> ・IdP から SP に、ユーザIDやメールアドレスなどのユーザを一意に識別する値
> が渡されるように設定します
>
>
> 構築手順:(CentOSにて構築)
>
> ・以下のサイトの手順に従って、ApacheとTomcat(infoScoop)の連携をします
> https://spaces.internet2.edu/display/SHIB2/NativeSPJavaInstall
>
> (参考)
> → /my-application を /infoscoop に置き換えて設定します
> → httpd.confに下記を追加する際に、HTTPヘッダー受け渡し用に
> 「ShibUseHeaders On」も追記します
>
> <Location /infoscoop>
> AuthType shibboleth
> ShibRequestSetting requireSession 1
> require valid-user
> ShibUseHeaders On ← これを追記
> </Location>
>
>
> ・infoscoopを再設定します。
>
> - temp フォルダを作成し、infoscoop.war を解凍します
>
> mkdir temp
> cd temp
> jar xvf <infoscoopのwarファイルがあるディレクトリ>/infoscoop.war
>
>
> - WEB-INF/classes/accountservices.xmlを編集します
>
> 下の方の以下の二箇所を変更します。
>
> <property name="uidHeader">
> <value>ユーザを一意に識別する情報が送られてくるHTTPヘッダー名</value>
> </property>
>
> <property name="loginAuthentication">
> <value>false</value>
> </property>
>
> (参考)
> → AJPを経由した属性の受け渡しのため、AJP_eppn というヘッダー名で値を
> 取得できました
> → loginAuthentication を false に設定することで infoScoop のログイン
> 画面を非表示にします
>
> - 再度warファイルを作成します
>
> jar cvf <infoscoopのwarファイルがあるディレクトリ>/infoscoop.war *
>
> - infoscoop.xml を再作成します
>
> 上記手順で infoScoop インストール時に作成した infoscoop.xml が消えてしまう
> ため、インストールマニュアルの 「7.Apache TomcatにJNDIデータソースを定義する」
> を参考に再作成します
>
> - Tomcatを再起動します
>
>
> 以上で設定は完了です。ご参考まで。
>
>
>
>
--
Toyokazu AKIYAMA
Faculty of Computer Science and Engineering,
Kyoto Sangyo University
TEL/FAX: +81-75-705-1531