[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:103] Re: IdP側での属性設定



 お世話になっております、NIIの片岡です。

 "外部スクリプト"とあったので、補足です。ただし、今回は、
>> UserIDの文字列で,学生か職員かは区別ができるので,
とのことなので、秋山先生がおっしゃる通り、”mapped attribute definition”
でできるかと思います。

 このmappedでも正規表現が利用可能とのことですが、少し複雑な場合(?)
は、Attribute Definition
 ( https://spaces.internet2.edu/display/SHIB2/IdPAddAttribute の真ん中あたり)
には、”script attribute definition”というのもあり、スクリプト(ECMAScript)が使えます。
 https://spaces.internet2.edu/display/SHIB2/ResolverScriptAttributeDefinitionExamples#ResolverScriptAttributeDefinitionExamples-ex2
にサンプルがあり、2つ目のサンプル
 ”Generate Affiliation based on Groups”(”Show Example"をクリック)では、
LDAP内のmemberOfの内容で分岐してeduPersonAffiliationに値を追加しています。

Toshiyuki Kataoka <xxxxxxx@xxxxxxxxx>


---- Original message ----
>Date: Tue, 10 Nov 2009 12:00:33 +0900
>From: xxxxxxxxxxxxxx@xxxxxxxxx (on behalf of Toyokazu Akiyama <xxxxxxx@xxxxxxxxxxxxxxxxxx>)
>Subject: [upki-fed:101] Re: [upki-fed:99] IdP側での属性設定  
>To: xxxxxxxx@xxxxxxxxx
>
>京産大の秋山です.
>
>反応できておらずすみません.
>阪大で実験していたときには,Shibboleth の Mapped Attribute Definition という機能
>を利用していました.
>
>https://upki-portal.nii.ac.jp/docs/fed/feasibility/report/osaka/append1
>
>この機能は以下のページにあるように SourceValue に正規表現も使えるので,
>LDAP の uid 等を sourceAttributeID に指定し,ID割り当てルールに対応づけて
>staff か student を返すようにすれば,LDAP を変更しなくてもご希望の機能は
>実現できるかと思います.
>
>https://spaces.internet2.edu/display/SHIB2/ResolverMappedAttributeDefinition
>
>もちろんLDAPを使い慣れておられるようであれば,京大方式を採用する
>方法もあると思います.
>
>以上です.
>
>2009年11月10日9:15 Ito Eisuke <xxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx>:
>> みなさま
>>
>> 九州大学の伊東と申します。初めてメールします。
>>
>> 九大でもIdPの準備を進めてまして,基本的なIdP構築と,
>> 認証用LDAPサーバとの接続などを試しております。
>>
>> 質問ですが,IdP側の属性値設定で,attribute-resolver
>> などから外部スクリプトを呼び出すような事は可能でしょうか。
>> WebサーバのCGIプログラムのような感じを想定しています。
>>
>> 九大にも全学共通認証基盤としてのLDAPサーバがあるのですが,eduPersonAffiliateに設定されるべき,学生(student)
>> や職員(faculty)といった属性値が有りません。
>>
>> UserIDの文字列で,学生か職員かは区別ができるので,
>> 文字列処理スクリプトを間に挟むことができれば,
>> 属性値の設定が簡単にできます。
>>
>> LDAPのツリー(DNの文字列)でも区別可能なので,そこら
>> へんの処理を気軽にしたいのです。
>>
>> もし,ご存知のかたがいらっしゃれば,ご教授ください。
>> # 色々調査するのに疲れてしまってまして。。。
>>
>> よろしくお願いします。
>> --
>> 九州大学 情報基盤研究開発センター
>> 伊東栄典 Tel:092-642-4037 Fax:092-642-3844
>>
>
>
>
>-- 
>Toyokazu AKIYAMA
>Faculty of Computer Science and Engineering,
>Kyoto Sangyo University
>TEL/FAX: +81-75-705-1531