[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:105] Re: IdP側での属性設定



お世話になっています.
筑波大学の佐藤です.
筑波大学でもLDAP上のUIDが所属等によるコード化されていたので,
それをつかって属性表現につかう方法を用いています.

必要があれば,できる範囲でその例をご報告できますが.

Toshiyuki Kataoka さんは書きました:
>  お世話になっております、NIIの片岡です。
> 
>  "外部スクリプト"とあったので、補足です。ただし、今回は、
>>> UserIDの文字列で,学生か職員かは区別ができるので,
> とのことなので、秋山先生がおっしゃる通り、”mapped attribute definition”
> でできるかと思います。
> 
>  このmappedでも正規表現が利用可能とのことですが、少し複雑な場合(?)
> は、Attribute Definition
>  ( https://spaces.internet2.edu/display/SHIB2/IdPAddAttribute の真ん中あたり)
> には、”script attribute definition”というのもあり、スクリプト(ECMAScript)が使えます。
>  https://spaces.internet2.edu/display/SHIB2/ResolverScriptAttributeDefinitionExamples#ResolverScriptAttributeDefinitionExamples-ex2
> にサンプルがあり、2つ目のサンプル
>  ”Generate Affiliation based on Groups”(”Show Example"をクリック)では、
> LDAP内のmemberOfの内容で分岐してeduPersonAffiliationに値を追加しています。
> 
> Toshiyuki Kataoka <xxxxxxx@xxxxxxxxx>
> 
> 
> ---- Original message ----
>> Date: Tue, 10 Nov 2009 12:00:33 +0900
>> From: xxxxxxxxxxxxxx@xxxxxxxxx (on behalf of Toyokazu Akiyama <xxxxxxx@xxxxxxxxxxxxxxxxxx>)
>> Subject: [upki-fed:101] Re: [upki-fed:99] IdP側での属性設定  
>> To: xxxxxxxx@xxxxxxxxx
>>
>> 京産大の秋山です.
>>
>> 反応できておらずすみません.
>> 阪大で実験していたときには,Shibboleth の Mapped Attribute Definition という機能
>> を利用していました.
>>
>> https://upki-portal.nii.ac.jp/docs/fed/feasibility/report/osaka/append1
>>
>> この機能は以下のページにあるように SourceValue に正規表現も使えるので,
>> LDAP の uid 等を sourceAttributeID に指定し,ID割り当てルールに対応づけて
>> staff か student を返すようにすれば,LDAP を変更しなくてもご希望の機能は
>> 実現できるかと思います.
>>
>> https://spaces.internet2.edu/display/SHIB2/ResolverMappedAttributeDefinition
>>
>> もちろんLDAPを使い慣れておられるようであれば,京大方式を採用する
>> 方法もあると思います.
>>
>> 以上です.
>>
>> 2009年11月10日9:15 Ito Eisuke <xxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx>:
>>> みなさま
>>>
>>> 九州大学の伊東と申します。初めてメールします。
>>>
>>> 九大でもIdPの準備を進めてまして,基本的なIdP構築と,
>>> 認証用LDAPサーバとの接続などを試しております。
>>>
>>> 質問ですが,IdP側の属性値設定で,attribute-resolver
>>> などから外部スクリプトを呼び出すような事は可能でしょうか。
>>> WebサーバのCGIプログラムのような感じを想定しています。
>>>
>>> 九大にも全学共通認証基盤としてのLDAPサーバがあるのですが,eduPersonAffiliateに設定されるべき,学生(student)
>>> や職員(faculty)といった属性値が有りません。
>>>
>>> UserIDの文字列で,学生か職員かは区別ができるので,
>>> 文字列処理スクリプトを間に挟むことができれば,
>>> 属性値の設定が簡単にできます。
>>>
>>> LDAPのツリー(DNの文字列)でも区別可能なので,そこら
>>> へんの処理を気軽にしたいのです。
>>>
>>> もし,ご存知のかたがいらっしゃれば,ご教授ください。
>>> # 色々調査するのに疲れてしまってまして。。。
>>>
>>> よろしくお願いします。
>>> --
>>> 九州大学 情報基盤研究開発センター
>>> 伊東栄典 Tel:092-642-4037 Fax:092-642-3844
>>>
>>
>>
>> -- 
>> Toyokazu AKIYAMA
>> Faculty of Computer Science and Engineering,
>> Kyoto Sangyo University
>> TEL/FAX: +81-75-705-1531

-- 
筑波大学 情報環境機構
学術情報メディアセンター ネットワーク研究開発部門 佐藤聡
Email:xxxxx@xxxxxxxxxxxxxxxx tel:029-853-5192