[upki-fed:10] Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）

[Saito Hironobu <xxxxxx@xxxxxxxxxxxxxxxxxxxx>]

埼玉大学の斎藤と申します。

Shibboleth IdP に多要素認証を導入したく、Azure AD proxy 
をやりたいと思い試行錯誤しています。

学認Webサイトの下の記事を拝見し、
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=91396040
東京大学様の試行事例がありましたのでそれにならって設定したのですが、おそらくは大変初歩的なところでつまづいています。

同様のことを試された方、お知恵をいただけますと幸いでございます。

■参照した資料
NIIオープンフォーラム2022発表資料

https://www.nii.ac.jp/openforum/upload/823fbd69b751f3873851dbcb4d34c679634b8c7a.pdf

→ "Using SAML Proxying in the Shibboleth IdP to connect with Azure AD"
https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1467056889/

■起きている現象
上記を参照して設定を行った結果、
○Azure AD認証は通った。
○次の LDAP 問い合わせのステップで、エラー "opensaml::FatalProfileException"
→idp.loglevel.ldap=DEBUG に設定して DEBUGログを調べたところ、
　LDAP問い合わせフィルタが filter='(id=$resolutionContext.principal)'
　つまり $resolutionContext.principal 
がユーザ名に置き換わらず、そのままLDAPサーバへ問い合わせていた。

■知りたいこと
○Azure ADから返される SAML 
レスポンスの内容を確認したいのですが、ログに出力するなどの方法はありますでしょうか。
○上記のように置き換わらない原因わかる方がもしもいらっしゃいましたら、教えてください。

■前提などの補足
○当Shibboleth IdP の最初のインストールバージョンは Shibboleth 4.1.4 。
　現在のバージョンは 4.3.1
○上記の「参照した資料」は V4.0 系が前提のようで一部設定が異なったため、
　実際は下記の資料にしたがって設定を行っている。
　"Example procedure for adding O365 authentication to Shibboleth"
　https://www.belnet.be/sites/default/files/Procedure%20Shib%204-Jetty%209%20-%20Amazon%20Java%20-%20211004.pdf

--
齋藤 広宣
埼玉大学総務部情報基盤課
xxxxxx@xxxxxxxxxxxxxxxxxxxx

--

--- 
このグループから退会し、グループからのメールの配信を停止するには xxxxxxxxxxxxxxxxxxxx@xxxxxxxxx にメールを送信してください。