Secioss Identity Suite Cloud Edition SP(以降Identity Suite Cloud)をWindowsサーバにインストールする手順について説明します。Windows環境では、SeciossLinkとのシングルサインオンのみに対応しており、ID同期には対応しておりません。
Identity Suite Cloudの推奨環境は以下になります。
今回のインストール環境としては、Windows Server 2012を想定しています。
http://windows.php.net/download/からPHPの”x86 Non Thread Safe”のファイルをダウンロードして、インストールして下さい。
また、PHPを使用するために、事前”Visual Studio 2012 Visual C++”のx86版をインストールしておいて下さい。
PHPのインストール手順については、ここでは省略します。
PHPのインストール後、php.iniの以下の行のコメントアウトは外して下さい。
extension=php_openssl.dll
secioss-idsuite-cloud-sp-3.1.x.zipを展開して、optフォルダをC:\optとして配置します。
次にC:\optの[プロパティ]->[セキュリティ]から、IUSR、Usersに対してアクセス許可を与えます。
さらに、以下のフォルダにはIUSR、Usersに対してフルコントロールのアクセス許可を与えます。
シングルサインオンを行うアプリケーションの仮想ディレクトリの下に、以下のように仮想ディレクトリを作成します。
“C:\opt\secioss\share\simplesamlphp\config\config.php”の’baseurlpath’をIISで設定したSAMLのエイリアスに、 ’default-saml20-idp’を”https://slink.secioss.com/<テナントID>”(例: https://slink.secioss.com/test.com)に変更して下さい。
また、”C:\opt\secioss\share\simplesamlphp\metadata\saml20-idp-hosted.php”の以下の値を”https://slink.secioss.com/<テナントID>”に変更して下さい。
‘https://slink.secioss.com‘ => array(
次に、”C:\opt\secioss\share\simplesamlphp\metadata\saml20-sp-hosted.php”の”https://sp.example.com/path”をシングルサインオンを行うアプリケーションのURL(URLはパスまでとして、ファイル名の部分は含めないで下さい。例: https://sp.example.com/aipo)に変更して下さい。
次に、認証サーバの公開鍵”https://slink.secioss.com/public/PublicKey-idp.pem”をダウンロードして、”C:\opt\secioss\share\simplesamlphp\cert”に置いて下さい。
次にSAML認証用の秘密鍵と公開鍵を作成します。
以下はLinux(CentOS 5)上でOpenSSLによる秘密鍵と公開鍵の作成手順です。
秘密鍵を作成します。
# cd /etc/pki/tls/certs # make test.key
秘密鍵からパスワードを削除します。
# openssl rsa -in test.key -out test.key
公開鍵を作成します。
# make test.crt Country Name (2 letter code) [GB]:JP ← 国名
State or Province Name (full name) [Berkshire]:Tokyo ← 都道府県名
Locality Name (eg, city) [Newbury]:Bunkyo ← 市区町村名
Organization Name (eg, company) [My Company Ltd]:TEST, Inc ← 会社名
Organizational Unit Name (eg, section) []: ← 空ENTER
Common Name (eg, your name or your server’s hostname) []:sp.example.com ← ホスト名
Email Address []:admin@example.com ← 管理者メールアドレス
公開鍵は、”C:\opt\secioss\share\simplesamlphp\cert\PublicLey.pem”にコピーして下さい。
秘密鍵は、”C:\opt\secioss\share\simplesamlphp\cert\PrivateKey.pem”にコピーして下さい。
アプリケーションに自動でログインするための設定を行います。
設定ファイルは、”C:\opt\secioss\var\www\conf\sp.ini”として作成して下さい。 以下はAipo用の設定例です。
[url]
login = “https://sp.example.com/aipo/”
back = “https://sp.example.com/aipo/”
fatal = “https://sp.example.com/aipo/”
password = “https://sp.example.com/aipo/”
url | login | ログインするアプリケーションのURL |
back | ログイン後に表示する画面のURL | |
fatal | エラーの発生時に表示する画面のURL | |
password | アプリケーションにPOSTするパスワードが存在しない、または間違っている場合に表示する画面のURL | |
postName | username | ログイン時にPOSTするユーザ名の変数名 |
password | ログイン時にPOSTするパスワードの変数名 |
[postData]には、POSTするデータの変数名と値の組み合わせを設定して下さい。
https://slink.secioss.com/tenantadmin/にアクセスして、管理者アカウントでログインします。 画面上部のシングルサインオンをクリックしから、左側メニューの”SAML サービスプロバイダ”をクリックして下さい。 ”新規登録”をクリックして、SPの設定を登録します。
“<アプリケーションのURL>/sso/autologin.php?sso_app=sp”にアクセスして、シングルサインオンすることを確認して下さい。