Secioss Identity Suite Cloud Edition SP（以降Identity Suite Cloud）をWindowsサーバにインストールする手順について説明します。Windows環境では、SeciossLinkとのシングルサインオンのみに対応しており、ID同期には対応しておりません。

1. インストール

Identity Suite Cloudの推奨環境は以下になります。

• OS： Windows Server 2008以降
• Webサーバ： IIS 7以降

今回のインストール環境としては、Windows Server 2012を想定しています。

1.1 PHPのインストール

http://windows.php.net/download/からPHPの”x86 Non Thread Safe”のファイルをダウンロードして、インストールして下さい。
また、PHPを使用するために、事前”Visual Studio 2012 Visual C++”のx86版をインストールしておいて下さい。

PHPのインストール手順については、ここでは省略します。
PHPのインストール後、php.iniの以下の行のコメントアウトは外して下さい。
extension=php_openssl.dll

1.2 Secioss Identity Suite Cloud Edition SP

secioss-idsuite-cloud-sp-3.1.x.zipを展開して、optフォルダをC:\optとして配置します。

次にC:\optの[プロパティ]->[セキュリティ]から、IUSR、Usersに対してアクセス許可を与えます。

さらに、以下のフォルダにはIUSR、Usersに対してフルコントロールのアクセス許可を与えます。

• C:\opt\secioss\share\simplesamlphp\log
• C:\opt\secioss\var\log

1.3 IISマネージャの設定

シングルサインオンを行うアプリケーションの仮想ディレクトリの下に、以下のように仮想ディレクトリを作成します。

• SAML エイリアス：saml
• パス：C:\opt\secioss\share\simplesamlphp\www
• 代理認証 エイリアス： sso
• パス： C:\opt\secioss\var\www\sso

2. シングルサインオン

2.1 SAML認証の設定

“C:\opt\secioss\share\simplesamlphp\config\config.php”の’baseurlpath’をIISで設定したSAMLのエイリアスに、 ’default-saml20-idp’を”https://slink.secioss.com/<テナントID>”（例： https://slink.secioss.com/test.com）に変更して下さい。

また、”C:\opt\secioss\share\simplesamlphp\metadata\saml20-idp-hosted.php”の以下の値を”https://slink.secioss.com/<テナントID>”に変更して下さい。

‘https://slink.secioss.com‘ => array(

次に、”C:\opt\secioss\share\simplesamlphp\metadata\saml20-sp-hosted.php”の”https://sp.example.com/path”をシングルサインオンを行うアプリケーションのURL（URLはパスまでとして、ファイル名の部分は含めないで下さい。例： https://sp.example.com/aipo）に変更して下さい。

次に、認証サーバの公開鍵”https://slink.secioss.com/public/PublicKey-idp.pem”をダウンロードして、”C:\opt\secioss\share\simplesamlphp\cert”に置いて下さい。

次にSAML認証用の秘密鍵と公開鍵を作成します。
以下はLinux（CentOS 5）上でOpenSSLによる秘密鍵と公開鍵の作成手順です。

秘密鍵を作成します。
# cd /etc/pki/tls/certs # make test.key

秘密鍵からパスワードを削除します。
# openssl rsa -in test.key -out test.key

公開鍵を作成します。
# make test.crt Country Name (2 letter code) [GB]:JP　←　国名
State or Province Name (full name) [Berkshire]:Tokyo　←　都道府県名
Locality Name (eg, city) [Newbury]:Bunkyo　←　市区町村名
Organization Name (eg, company) [My Company Ltd]:TEST, Inc　←　会社名
Organizational Unit Name (eg, section) []:　←　空ENTER
Common Name (eg, your name or your server’s hostname) []:sp.example.com　←　ホスト名
Email Address []:admin@example.com　←　管理者メールアドレス

公開鍵は、”C:\opt\secioss\share\simplesamlphp\cert\PublicLey.pem”にコピーして下さい。

秘密鍵は、”C:\opt\secioss\share\simplesamlphp\cert\PrivateKey.pem”にコピーして下さい。

2.2 代理認証の設定

アプリケーションに自動でログインするための設定を行います。

設定ファイルは、”C:\opt\secioss\var\www\conf\sp.ini”として作成して下さい。 以下はAipo用の設定例です。

[url]
login = “https://sp.example.com/aipo/”
back = “https://sp.example.com/aipo/”
fatal = “https://sp.example.com/aipo/”
password = “https://sp.example.com/aipo/”

url	login	ログインするアプリケーションのURL
	back	ログイン後に表示する画面のURL
	fatal	エラーの発生時に表示する画面のURL
	password	アプリケーションにPOSTするパスワードが存在しない、または間違っている場合に表示する画面のURL
postName	username	ログイン時にPOSTするユーザ名の変数名
	password	ログイン時にPOSTするパスワードの変数名

[postData]には、POSTするデータの変数名と値の組み合わせを設定して下さい。

2.3 SeciossLinkの設定

https://slink.secioss.com/tenantadmin/にアクセスして、管理者アカウントでログインします。 画面上部のシングルサインオンをクリックしから、左側メニューの”SAML サービスプロバイダ”をクリックして下さい。 ”新規登録”をクリックして、SPの設定を登録します。

• サービス：　サービスIDを選択して下さい。
• サービス名：　SPのサービス名（任意の値）を設定して下さい。
• URL：　2.1項で設定したアプリケーションのURLを設定して下さい。
• ユーザIDの属性：　SPに渡すユーザIDの属性を選択して下さい。
• サービスプロバイダへのパスワード送信：
  　- なし： パスワードを送信しない
  　- シングルサインオンのパスワード： シングルサインオンのパスワードを送信
  　- サービス個別のパスワード： サービス個別のパスワードを送信
  　- ランダムパスワード： ランダムなパスワードを送信
  ※”シングルサインオンのパスワード”または”サービス個別のパスワード”を選択して下さい。
• 暗号化用公開鍵：　2.1項で作成した公開鍵を登録して下さい。

3. 動作確認

“<アプリケーションのURL>/sso/autologin.php?sso_app=sp”にアクセスして、シングルサインオンすることを確認して下さい。