[upki-fed:10] RE: [upki-fed:7] Re: eduPersonTargetedID 属性の形式

[Toshiyuki Kataoka <xxxxxxx@xxxxxxxxx>]

　お世話になっております、NIIの片岡です。

　ご質問ありがとうございます、こちらで調べたところ、考えているところ
について本MLでの情報公開の意味も含めて、投稿させて頂きます。

>targetedIDについては、ＡＤのPricipalNameを変換（ハッシュなど）することにし、かつ
>,Javaなどのライブラリーを使うと、仕様が変更されると面倒なので、Shibbolethの
>ComputedIDを使うことにしました。

　TargetedIDは、eduPersonの定義；
http://middleware.internet2.edu/eduperson/docs/internet2-mace-dir-eduperson-200806.html#eduPersonTargetedID
で、特定のSPに対して永続的な値であり、かつ、他のSPにはその値を開示
しないこととなっています。つまり、異なるSPには異なる値を送信する必要
があります。
　たぶん既に調査されていることと思いますが、Shib2.xのComputedIDの
設定では一見、全てのSPに同じ値を送信するように見えるのですが、実際
にはちゃんとSP毎に異なる値を生成していますよね。
　Attribute-Resolver.xmlの標準設定方法を提示することも検討していま
すが、上記の通り正しく値を生成していることがわかったので、伊藤さん
と同様にComputedIDを利用しようと考えています。

>私の判断では、targetedIDなどは国際的にフォーマットを合わせる必要が
>あるので、

　はい、おっしゃるとおり、既存の属性はできる限り海外SPと連携を考慮
して国際的なフォーマット、値を採用する。日本語の属性は基本的に国内
だけで利用するものと考えています。

　少し戻って、最初のご質問ですが、

>Shib 1.3 および Shib 2.0のともに、 
>xsi:type="SAML1ScopedString" を採用するとのこでしょうか？ 
>
>現在、山形大学のテスト用IdPのconfigは、下記ようになっており、 
><AttributeDecoder xsi:type="NameIDAttributeDecoder" >formatter="$NameQualifier!$SPNameQualifier!$Name"/> 
>形式を採用しています。 

　山地先生の投稿にもあるように、海外Fedの状況やShibの設定ファイル
からみると、Shib1.3とShib2.0のフォーマットは、２種類あって、

(1)name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" の場合； 
　　(IdPのEntityID)!(SPのEntityID)!値
(2)name="urn:mace:dir:attribute-def:eduPersonTargetedID"の場合； 
　　値＠スコープ 

となっており、どちらのフォーマットを利用するかは、
  Shib2.x SPとの連携：(1)
　Shib1.3 SPとの連携：(1)、または、(2)
となっていますよね。 

　なので、Shib2.x SPとの連携時には、伊藤さんが採用されている(1)を
利用することになると思っています。
　問題は、Shib1.3 SPとの連携時で、これは当初(2)を利用していたが、
SAML2.0仕様で定めるPersistent Identifierのフォーマットをそのまま
TargetedIDとして利用しようということで(2)から(1)に変更してきたよう
です。そのため、これは各海外SPの対応状況をヒアリングして(1)だけで
良いか、(1)と(2)の両方が必要なのか決めていく必要があるかと考えて
います。

Toshiyuki Kataoka <xxxxxxx@xxxxxxxxx>