[upki-fed:116] SP内のユーザ識別子に何を使うのがよいでしょうか

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

みなさま、
西村です。

upki-portal.nii.ac.jp上のCMS、DrupalのShibboleth化を試みて
おります。
（その過程での試行錯誤については別途投稿する予定です）

一点だけ設定での質問、というか疑問がありましたのでお知恵を
拝借できればと思います。

Drupalで扱うユーザ情報は以下のものだけです。
- ユーザー名
- メールアドレス
ユーザー名は一意であればなんでもよく、一般の閲覧者には目に
触れない情報で、ログ等でしか現われません。ログインした人が
「ああ、この人が更新したのか」と確認する程度の用途しかあり
ません。
（Shibboleth Loginですのでログインするときに入力するUsername:
とも概念的には別個のものです）

ここで「ユーザー名」としてどの属性を使うか、
1. eduPersonPrincipalName (ePPN)
2. mail
3. eduPersonTargetedID
4. その他
で悩んでいます。
NIIのIdPは1と2が同じもののようなので悩みも少ないのですが、
- うちのePPNは他人が見てもたぶんその人を特定できないだろう
とか
- 実はmailは一意ではない
とかいう事情がありましたら教えてください。

# 3はありえないなと思いつつ書いています。Drupalが氏名等を
# 保持していれば話は違ったのでしょうが。

p.s.
現状ではあくまで技術的な検証段階ですので、upki-portalをシボ
レス化してみんなで更新しよう！という話ではありませんので
あしからず。
とはいえ上記の議論が成り立たないかもしれませんので、「もし
自分（のところのIdP）が参加するなら」という仮定で話していただ
ければと思います。

-- 
西村健
国立情報学研究所 TEL:03-4212-2720