[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:116] SP内のユーザ識別子に何を使うのがよいでしょうか
- Subject: [upki-fed:116] SP内のユーザ識別子に何を使うのがよいでしょうか
- Date: Wed, 09 Dec 2009 17:54:50 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
みなさま、
西村です。
upki-portal.nii.ac.jp上のCMS、DrupalのShibboleth化を試みて
おります。
(その過程での試行錯誤については別途投稿する予定です)
一点だけ設定での質問、というか疑問がありましたのでお知恵を
拝借できればと思います。
Drupalで扱うユーザ情報は以下のものだけです。
- ユーザー名
- メールアドレス
ユーザー名は一意であればなんでもよく、一般の閲覧者には目に
触れない情報で、ログ等でしか現われません。ログインした人が
「ああ、この人が更新したのか」と確認する程度の用途しかあり
ません。
(Shibboleth Loginですのでログインするときに入力するUsername:
とも概念的には別個のものです)
ここで「ユーザー名」としてどの属性を使うか、
1. eduPersonPrincipalName (ePPN)
2. mail
3. eduPersonTargetedID
4. その他
で悩んでいます。
NIIのIdPは1と2が同じもののようなので悩みも少ないのですが、
- うちのePPNは他人が見てもたぶんその人を特定できないだろう
とか
- 実はmailは一意ではない
とかいう事情がありましたら教えてください。
# 3はありえないなと思いつつ書いています。Drupalが氏名等を
# 保持していれば話は違ったのでしょうが。
p.s.
現状ではあくまで技術的な検証段階ですので、upki-portalをシボ
レス化してみんなで更新しよう!という話ではありませんので
あしからず。
とはいえ上記の議論が成り立たないかもしれませんので、「もし
自分(のところのIdP)が参加するなら」という仮定で話していただ
ければと思います。
--
西村健
国立情報学研究所 TEL:03-4212-2720