こんにちは。サイオステクノロジーの服部です。

Shibboleth IdP 4.3で追加された機能であるadministrative logoutを試してみたので、簡単にまとめます。

administrative logoutは、アカウント侵害が確認された際などに、特定時刻以前の既存IdPセッションを失効させるための機能です。

LDAPに格納されたパスワードを変更した場合に、IdPセッションが残っていると、変更後のパスワードを入力することなくSPにログインすることができてしまいます。administrative logoutを使用することで、既存IdPセッションを失効させ、ログイン画面へ遷移させることができます。

1 設定
2 動作確認
- 2.1 administrative logoutなし
- 2.2 administrative logoutあり
3 まとめ
4 参考ページ

設定

administrative logoutにはAttributeベースの失効と、StorageServiceベースの失効の2種がありますが、今回はAttributeベースの失効をLDAPにデータを格納して試してみます。
※StorageServiceベースの失効では、RESTインターフェースを通じて失効情報を確認、変更することができます。

以下、Shibbolethのデフォルト設定からの変更点を記載します。

Shibboleth IdPインストールディレクトリ配下「conf/authn/authn.properties」を以下のように書き換えます。

# Revocation (administrative logout)
#idp.authn.revocation = false
⇒ idp.authn.revocation = true

# Default implementation based on a StorageService bean.
#idp.authn.revocation.StorageService = shibboleth.StorageService
⇒ idp.authn.revocation.StorageService = shibboleth.AttributeRevocationCondition

同ファイルに「idp.auth.revocation.attributeId」を設定することで、使用する属性を指定することができますが、今回は特に指定せずデフォルトの「revocation」を使用します。

idp.authn.revocation.attributeId = CustomAttr

「conf/authn/attribute-filter.xml」にLDAPから「revocation」を取得する設定を追加します。

・・・前略・・・
<DataConnector id="myLDAP" xsi:type="LDAPDirectory"
・・・中略・・・
exportAttributes="... revocation">
・・・中略・・・
<Column columnName="testAttr01" attributeID="revocation" />
</DataConnector>
・・・後略・・・