[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:106] Re: IdP側での属性設定
- Subject: [upki-fed:106] Re: IdP側での属性設定
- Date: Wed, 11 Nov 2009 13:33:42 +0900 (JST)
- From: Toshiyuki Kataoka <xxxxxxx@xxxxxxxxx>
お世話になっております、片岡です。
>必要があれば,できる範囲でその例をご報告できますが.
ありがとうございます、可能な範囲で結構ですので、
ぜひともお願い致します。
このShib IdPにおける変換は、各大学のLDAPに依存して
複雑になる可能性も考えられ、フェデレーションでノウハウ
共有したいと従来から考えているところです。
各大学での状況を例としてML頂いてパターン化して(できる?)
イニシアティブでサンプル掲載等にて共有できればなあと思って
いますので、よろしくお願い致します。 −> みなさま
Toshiyuki Kataoka <xxxxxxx@xxxxxxxxx>
---- Original message ----
>Date: Wed, 11 Nov 2009 13:16:40 +0900
>From: xxxxxxxxxxxxxx@xxxxxxxxx (on behalf of Akira SATO <xxxxx@xxxxxxxxxxxxxxxx>)
>Subject: [upki-fed:105] Re: IdP側での属性設定
>To: xxxxxxxx@xxxxxxxxx
>
>お世話になっています.
>筑波大学の佐藤です.
>筑波大学でもLDAP上のUIDが所属等によるコード化されていたので,
>それをつかって属性表現につかう方法を用いています.
>
>必要があれば,できる範囲でその例をご報告できますが.
>
>Toshiyuki Kataoka さんは書きました:
>> お世話になっております、NIIの片岡です。
>>
>> "外部スクリプト"とあったので、補足です。ただし、今回は、
>>>> UserIDの文字列で,学生か職員かは区別ができるので,
>> とのことなので、秋山先生がおっしゃる通り、”mapped attribute definition”
>> でできるかと思います。
>>
>> このmappedでも正規表現が利用可能とのことですが、少し複雑な場合(?)
>> は、Attribute Definition
>> ( https://spaces.internet2.edu/display/SHIB2/IdPAddAttribute の真ん中あたり)
>> には、”script attribute definition”というのもあり、スクリプト(ECMAScript)が使えます。
>> https://spaces.internet2.edu/display/SHIB2/ResolverScriptAttributeDefinitionExamples#ResolverScriptAttributeDefinitionExamples-ex2
>> にサンプルがあり、2つ目のサンプル
>> ”Generate Affiliation based on Groups”(”Show Example"をクリック)では、
>> LDAP内のmemberOfの内容で分岐してeduPersonAffiliationに値を追加しています。
>>
>> Toshiyuki Kataoka <xxxxxxx@xxxxxxxxx>
>>
>>
>> ---- Original message ----
>>> Date: Tue, 10 Nov 2009 12:00:33 +0900
>>> From: xxxxxxxxxxxxxx@xxxxxxxxx (on behalf of Toyokazu Akiyama <xxxxxxx@xxxxxxxxxxxxxxxxxx>)
>>> Subject: [upki-fed:101] Re: [upki-fed:99] IdP側での属性設定
>>> To: xxxxxxxx@xxxxxxxxx
>>>
>>> 京産大の秋山です.
>>>
>>> 反応できておらずすみません.
>>> 阪大で実験していたときには,Shibboleth の Mapped Attribute Definition という機能
>>> を利用していました.
>>>
>>> https://upki-portal.nii.ac.jp/docs/fed/feasibility/report/osaka/append1
>>>
>>> この機能は以下のページにあるように SourceValue に正規表現も使えるので,
>>> LDAP の uid 等を sourceAttributeID に指定し,ID割り当てルールに対応づけて
>>> staff か student を返すようにすれば,LDAP を変更しなくてもご希望の機能は
>>> 実現できるかと思います.
>>>
>>> https://spaces.internet2.edu/display/SHIB2/ResolverMappedAttributeDefinition
>>>
>>> もちろんLDAPを使い慣れておられるようであれば,京大方式を採用する
>>> 方法もあると思います.
>>>
>>> 以上です.
>>>
>>> 2009年11月10日9:15 Ito Eisuke <xxxxxxxxxxxxxx@xxxxxxxxxxxxxxxx>:
>>>> みなさま
>>>>
>>>> 九州大学の伊東と申します。初めてメールします。
>>>>
>>>> 九大でもIdPの準備を進めてまして,基本的なIdP構築と,
>>>> 認証用LDAPサーバとの接続などを試しております。
>>>>
>>>> 質問ですが,IdP側の属性値設定で,attribute-resolver
>>>> などから外部スクリプトを呼び出すような事は可能でしょうか。
>>>> WebサーバのCGIプログラムのような感じを想定しています。
>>>>
>>>> 九大にも全学共通認証基盤としてのLDAPサーバがあるのですが,eduPersonAffiliateに設定されるべき,学生(student)
>>>> や職員(faculty)といった属性値が有りません。
>>>>
>>>> UserIDの文字列で,学生か職員かは区別ができるので,
>>>> 文字列処理スクリプトを間に挟むことができれば,
>>>> 属性値の設定が簡単にできます。
>>>>
>>>> LDAPのツリー(DNの文字列)でも区別可能なので,そこら
>>>> へんの処理を気軽にしたいのです。
>>>>
>>>> もし,ご存知のかたがいらっしゃれば,ご教授ください。
>>>> # 色々調査するのに疲れてしまってまして。。。
>>>>
>>>> よろしくお願いします。
>>>> --
>>>> 九州大学 情報基盤研究開発センター
>>>> 伊東栄典 Tel:092-642-4037 Fax:092-642-3844
>>>>
>>>
>>>
>>> --
>>> Toyokazu AKIYAMA
>>> Faculty of Computer Science and Engineering,
>>> Kyoto Sangyo University
>>> TEL/FAX: +81-75-705-1531
>
>--
>筑波大学 情報環境機構
>学術情報メディアセンター ネットワーク研究開発部門 佐藤聡
>Email:xxxxx@xxxxxxxxxxxxxxxx tel:029-853-5192