山形大学の伊藤です。 お世話になっております。 StoredIDについて、こちらでも実証試験を行ってみました。 ComputedIDとStoredIDのsalt値を同じにすることにより、 ComputedIDでもStoredIDでも、eduPersonTargetedIDは、 同一の値を送信するようでした。 よって、最初は、ComputedIDで運用しておいて、セキュリティなどの 強化が必要になった場合に、StoredIDにしても、SPへの実害はない と思われます。 こちらのテストでは、MySQLをデータベースエンジンにして、動作確認を しました。管理用のWindows PCからの閲覧は、ODBCドライバー経由で、 MS Accessを使用して、閲覧できました。 おかげさまで、非常に便利に認証情報を管理できます。 有益な情報、ありがとうございます>秋山先生 また、Microsoft SQL サーバへのJDBC経由でも接続も試みましたが、 LinuxからのWindows統合認証接続ができなかったので、ペンディングしています。 以上。簡単ですが、報告です。 > -----Original Message----- > From: xxxxxxxxxxxxxx@xxxxxxxxx [mailto:xxxxxxxxxxxxxx@xxxxxxxxx] On > Behalf Of Tomohiro Ito > Sent: Friday, July 17, 2009 8:06 PM > To: xxxxxxxx@xxxxxxxxx > Subject: [upki-fed:29] RE: [upki-fed:28] Re: [upki-fed:27] Re: > eduPersonTargetedID 属性の形式 > > 秋山先生、山地先生 > > 山形大学の伊藤です。 > お世話になっております。 > > StoredIDという方法もあるんですね。勉強になりました。ありがとうございま > す。 > 今度、時間をみて、JDBC経由で、SQLサーバーに接続して、できるかどうか、 > 試してみます。 > > 完全に、ドキュメントを読んでいませんが、Shibboleth IdPで、saltをベース > に > SHA1を生成して、データベースサーバーに、SELECT文でリクエストを出して、 > 情報がないと、Insertするように感じました。 > この解釈が間違っていないと、SQLサーバーなどに、ログが残せることは、 > 管理上は、検索の高速化などを考えると非常に便利だと思っています。 > > もちろん、実装が複雑化しますので、セキュリティと運用コストのトレードオ > フの > 判断は大切ですね。 > > 有益なありがとうございます。今度、テストしてみます。 > > > -----Original Message----- > > From: xxxxxxxxxxxxxx@xxxxxxxxx [mailto:xxxxxxxxxxxxxx@xxxxxxxxx] On > > Behalf Of Toyokazu Akiyama > > Sent: Friday, July 17, 2009 11:37 AM > > To: xxxxxxxx@xxxxxxxxx > > Subject: [upki-fed:28] Re: [upki-fed:27] Re: eduPersonTargetedID 属性 > の > > 形式 > > > > 秋山です. > > > > > これをどうとらえるかは,運用か理想かのトレードオフで,世界的にも統 > 一 > > し > > > た見解がなされていない感じです.見解というか,できるなら,そりゃ本 > 当 > > な > > > らDBがいいだろうという意識はみなあると思います.先日,UKのフェデレ > ー > > シ > > > ョン代表とこの件を話したのですが,UKではほとんどがcomputedIDだそう > で > > す. > > > アメリカでも,いろいろ現状が分かれているそうなのですが,ワシントン > 大 > > 学 > > > はDBを利用しているそうです. > > > > なるほど. > > みなさんStoredIDの件は認識されているけれど, > > ComputedIDを利用されているということですね. > > > > 先に面倒なところに手をつけるか,セキュリティの > > 問題が発生したときに頑張るか,セキュリティリスク > > がそれほど大きくないのなら,後者で良いのかも > > しれませんね. > > > > >> > > > http://ssowiki.nii.ac.jp/wiki.cgi?page=%B5%FE%C5%D4%BB%BA%B6%C8%C2%E7% > > B3%D8%2FShibboleth2%2FRails > > > > > > これ見えない人ごめんなさい.秋山さんからは,公開の許可を頂いている > の > > に > > > フェデレーションのページに移行できていないのは僕の怠慢です_o_. > > > > すみません.ML内に見えない方がいらっしゃるのを認識 > > しておりませんでした.特に上記の議論について書かれて > > いるわけではなく,ComputedIDとStoredIDを試してみました > > くらいの内容ですので,ご興味があればご参照ください. > > > > -- > > Toyokazu AKIYAMA > > Faculty of Computer Science and Engineering, > > Kyoto Sangyo University > > TEL/FAX: +81-75-705-1531
Attachment:
smime.p7s
Description: S/MIME cryptographic signature