[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:105] Re: IdP側での属性設定
- Subject: [upki-fed:105] Re: IdP側での属性設定
- Date: Wed, 11 Nov 2009 13:16:40 +0900
- From: Akira SATO <xxxxx@xxxxxxxxxxxxxxxx>
お世話になっています.
筑波大学の佐藤です.
筑波大学でもLDAP上のUIDが所属等によるコード化されていたので,
それをつかって属性表現につかう方法を用いています.
必要があれば,できる範囲でその例をご報告できますが.
Toshiyuki Kataoka さんは書きました:
> お世話になっております、NIIの片岡です。
>
> "外部スクリプト"とあったので、補足です。ただし、今回は、
>>> UserIDの文字列で,学生か職員かは区別ができるので,
> とのことなので、秋山先生がおっしゃる通り、”mapped attribute definition”
> でできるかと思います。
>
> このmappedでも正規表現が利用可能とのことですが、少し複雑な場合(?)
> は、Attribute Definition
> ( https://spaces.internet2.edu/display/SHIB2/IdPAddAttribute の真ん中あたり)
> には、”script attribute definition”というのもあり、スクリプト(ECMAScript)が使えます。
> https://spaces.internet2.edu/display/SHIB2/ResolverScriptAttributeDefinitionExamples#ResolverScriptAttributeDefinitionExamples-ex2
> にサンプルがあり、2つ目のサンプル
> ”Generate Affiliation based on Groups”(”Show Example"をクリック)では、
> LDAP内のmemberOfの内容で分岐してeduPersonAffiliationに値を追加しています。
>
> Toshiyuki Kataoka <xxxxxxx@xxxxxxxxx>
>
>
> ---- Original message ----
>> Date: Tue, 10 Nov 2009 12:00:33 +0900
>> From: xxxxxxxxxxxxxx@xxxxxxxxx (on behalf of Toyokazu Akiyama <xxxxxxx@xxxxxxxxxxxxxxxxxx>)
>> Subject: [upki-fed:101] Re: [upki-fed:99] IdP側での属性設定
>> To: xxxxxxxx@xxxxxxxxx
>>
>> 京産大の秋山です.
>>
>> 反応できておらずすみません.
>> 阪大で実験していたときには,Shibboleth の Mapped Attribute Definition という機能
>> を利用していました.
>>
>> https://upki-portal.nii.ac.jp/docs/fed/feasibility/report/osaka/append1
>>
>> この機能は以下のページにあるように SourceValue に正規表現も使えるので,
>> LDAP の uid 等を sourceAttributeID に指定し,ID割り当てルールに対応づけて
>> staff か student を返すようにすれば,LDAP を変更しなくてもご希望の機能は
>> 実現できるかと思います.
>>
>> https://spaces.internet2.edu/display/SHIB2/ResolverMappedAttributeDefinition
>>
>> もちろんLDAPを使い慣れておられるようであれば,京大方式を採用する
>> 方法もあると思います.
>>
>> 以上です.
>>
>> 2009年11月10日9:15 Ito Eisuke <xxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx>:
>>> みなさま
>>>
>>> 九州大学の伊東と申します。初めてメールします。
>>>
>>> 九大でもIdPの準備を進めてまして,基本的なIdP構築と,
>>> 認証用LDAPサーバとの接続などを試しております。
>>>
>>> 質問ですが,IdP側の属性値設定で,attribute-resolver
>>> などから外部スクリプトを呼び出すような事は可能でしょうか。
>>> WebサーバのCGIプログラムのような感じを想定しています。
>>>
>>> 九大にも全学共通認証基盤としてのLDAPサーバがあるのですが,eduPersonAffiliateに設定されるべき,学生(student)
>>> や職員(faculty)といった属性値が有りません。
>>>
>>> UserIDの文字列で,学生か職員かは区別ができるので,
>>> 文字列処理スクリプトを間に挟むことができれば,
>>> 属性値の設定が簡単にできます。
>>>
>>> LDAPのツリー(DNの文字列)でも区別可能なので,そこら
>>> へんの処理を気軽にしたいのです。
>>>
>>> もし,ご存知のかたがいらっしゃれば,ご教授ください。
>>> # 色々調査するのに疲れてしまってまして。。。
>>>
>>> よろしくお願いします。
>>> --
>>> 九州大学 情報基盤研究開発センター
>>> 伊東栄典 Tel:092-642-4037 Fax:092-642-3844
>>>
>>
>>
>> --
>> Toyokazu AKIYAMA
>> Faculty of Computer Science and Engineering,
>> Kyoto Sangyo University
>> TEL/FAX: +81-75-705-1531
--
筑波大学 情報環境機構
学術情報メディアセンター ネットワーク研究開発部門 佐藤聡
Email:xxxxx@xxxxxxxxxxxxxxxx tel:029-853-5192