# 学認連携設定ガイド

CoursewareHubにおける学認（GakuNin）連携の詳細設定ガイドです。

## 概要

学認連携により、学認フェデレーション参加機関のユーザがシングルサインオン（SSO）でCoursewareHubにアクセスできます。ユーザID管理が不要で、大規模利用や複数大学での共同講義に適しています。

## 学認連携の方式

CoursewareHubでは以下の２つの学認連携方式を選択できます：

### IdP-proxy経由の学認連携（推奨）

**特徴:**

* 自組織で構築するIdP-proxyサーバを経由
* CoursewareHubとIdP-proxyの間はSAMLで連携
* 学認フェデレーションへの直接参加が不要
* IdP-proxy構築の負荷があるが、複数CoursewareHub環境では相対的に運用負荷軽減

**システム構成:**

![IdP-proxy経由の学認連携](notebooks/images/cw-221-01.png)

**適用場面:**

* 学認連携を簡単に導入したい場合
* CoursewareHubを学認SPとして直接登録したくない場合
* 複数のCoursewareHub環境で学認連携を利用したい場合

### 直接学認フェデレーション連携

**特徴:**

* CoursewareHub自体を学認SPとして直接登録
* SAML認証を直接処理
* IdP-proxyを経由しない直接的な連携

**システム構成:**

![直接学認フェデレーション連携](notebooks/images/cw-321-01.png)

**適用場面:**

* IdP-proxyを経由させたくない場合
* 機関固有の認証要件がある場合

## 選択指針

| 項目 | IdP-proxy経由 | 直接連携 |
|------|---------------|----------|
| **設定難易度** | 高（IdP-proxy構築含む） | 中 |
| **運用負荷** | 複数環境では相対的に低 | 高 |
| **学認参加申請** | 個別のCoursewareHubは不要<br>IdP-proxyは必要| 必要 |
| **環境数での効率** | 複数環境で有利 | 単一環境向け |
| **推奨度** | ★★★（複数環境時） | ★★ |

**IdP-proxy経由を推奨する理由:**

* 複数CoursewareHub環境での学認連携が効率的
* 学認フェデレーションへの参加申請が不要
* 一度IdP-proxyを構築すれば複数環境で共用可能

## 事前準備

### 共通要件

* **NTP設定**: SAML認証では時刻同期が重要
* **DNS設定**: CoursewareHubのFQDNが適切に解決できること
* **SSL証明書**: CoursewareHub用のサーバ証明書

### IdP-proxy経由の場合

* **IdP-proxy用SSL証明書**: IdP-proxyサーバ用のサーバ証明書と秘密鍵
* **学認フェデレーション参加申請**: IdP-proxyの学認への申請が必要

### 直接連携の場合

* **学認フェデレーション参加申請**: 学認への申請が必要

## 構築手順

### IdP-proxy経由での学認連携

基本的なCoursewareHub環境構築後、以下の追加手順を実行します：

#### IdP-proxyの構築

1. [511-VCノード作成-IdP-proxy](notebooks/511-VCノード作成-IdP-proxy.ipynb)
2. [521-IdP-proxyのセットアップ](notebooks/521-IdP-proxyのセットアップ.ipynb)

#### 学認連携の設定

1. [211-学認連携の設定を行う-IdP-proxyを利用する](notebooks/211-学認連携の設定を行う-IdP-proxyを利用する.ipynb)
2. [541-IdP-proxyへauth-proxyのメタデータを登録する](notebooks/541-IdP-proxyへauth-proxyのメタデータを登録する.ipynb)

### 直接学認フェデレーション連携

* [311-学認連携の設定を行う-直接学認フェデレーションを利用する](notebooks/311-学認連携の設定を行う-直接学認フェデレーションを利用する.ipynb)
    * SAML認証設定
    * 学認フェデレーション参加申請

## 関連Notebook一覧

### IdP-proxy関連

| Notebook | 用途 | 実行タイミング |
|----------|------|----------------|
| [511: VCノード作成--IdP-proxy](notebooks/511-VCノード作成-IdP-proxy.ipynb) | IdP-proxy用ノード作成 | 初期構築時 |
| [521: IdP-proxyセットアップ](notebooks/521-IdP-proxyのセットアップ.ipynb) | IdP-proxy構築 | 初期構築時 |
| [541: メタデータ登録](notebooks/541-IdP-proxyへauth-proxyのメタデータを登録する.ipynb) | メタデータ登録 | 連携設定時 |
| [591: IdP-proxy削除](notebooks/591-IdP-proxyの削除.ipynb) | 環境削除 | 廃止時 |

### 学認連携関連

| Notebook | 認証方式 | 用途 |
|----------|----------|------|
| [211: 学認連携--IdP-proxy](notebooks/211-学認連携の設定を行う-IdP-proxyを利用する.ipynb) | IdP-proxy経由 | 推奨方式での連携設定 |
| [311: 学認連携--直接連携](notebooks/311-学認連携の設定を行う-直接学認フェデレーションを利用する.ipynb) | 直接SP登録 | 高度な設定での連携 |

### Notebookの関連について

各Notebookの実行順序などの関係性を示す図を表示します。

#### IdP-proxy経由の場合

In [None]:
from IPython.display import SVG
%run scripts/nb_utils.py
SVG(filename=generate_svg_diag(diag='images/notebooks-idp.diag'))

#### 直接学認フェデレーション連携

In [None]:
from IPython.display import SVG
%run scripts/nb_utils.py
SVG(filename=generate_svg_diag(diag='images/notebooks-gakunin.diag'))

## 作業用Notebookの作成

この節のセルを実行することで、テンプレートのNotebookから作業用Notebookを作成することができます。

> このnotebookでは学認連携設定を行うまでのnotebookだけを対象としています。環境構築後の運用、管理に関する作業用Notebookを作成する場合は[000-README.ipynb](000-README.ipynb)を実行してください。

作業用Notebookを配置するディレクトリを指定してください。

In [None]:
WORK_DIR = 'work'

### IdP-proxy経由の場合


以下のセルを実行すると、Notebook名のドロップダウンリストと「作業開始」ボタンが現れます。
「作業開始」ボタンを押すと、テンプレートのNotebookをコピーし、そのNotebookを自動的にブラウザで開きます。
Notebookの説明を確認しながら実行、適宜修正しながら実行していってください。

> このNotebookを Shutdown した後に再度開いた場合、次のセルに既に表示されている「作業開始」ボタンが正しく動作しません。この節のセルをいったん unfreeze した後、セルを再実行してから「作業開始」ボタンをクリックして下さい。

In [None]:
from IPython.core.display import HTML
%run scripts/nb_utils.py
setup_nb_workdir(WORK_DIR)
nb_pattern = "[0125]*-*.ipynb"
HTML(generate_html_work_nbs(WORK_DIR, nb_pattern, "cwh"))

### 直接学認フェデレーション連携

以下のセルを実行すると、Notebook名のドロップダウンリストと「作業開始」ボタンが現れます。
「作業開始」ボタンを押すと、テンプレートのNotebookをコピーし、そのNotebookを自動的にブラウザで開きます。
Notebookの説明を確認しながら実行、適宜修正しながら実行していってください。

In [None]:
from IPython.core.display import HTML
%run scripts/nb_utils.py
setup_nb_workdir(WORK_DIR)
nb_pattern = "[013]*-*.ipynb"
HTML(generate_html_work_nbs(WORK_DIR, nb_pattern, "cwh"))