[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:120] Re: [upki-fed:116] SP内のユーザ識別子に何を使うのがよいでしょうか
- Subject: [upki-fed:120] Re: [upki-fed:116] SP内のユーザ識別子に何を使うのがよいでしょうか
- Date: Wed, 9 Dec 2009 22:06:38 +0900
- From: Toyokazu Akiyama <xxxxxxx@xxxxxxxxxxxxxxxxxx>
京産大の秋山です.
以前 redmine という Rails ベースのアプリケーションでシボレス化に try してみたときには,redmine が on the
fly registration(他の認証ソースで認証成功したらユーザ登録する)という実装だったので,sso 用に User
テーブルの属性を1つ追加して,eppn
にハッシュをかけたものを記録しておき,アプリケーションのユーザ名自体は新規登録時にユーザ自身が指定できるような実装にしました.ALTER
TABLE での属性追加が許されるなら,そういう実装もありかもしれませんね.
# でも Drupal のもとの実装が on the fly じゃないと面倒かもしれませんね.
2009年12月9日17:54 Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>:
> みなさま、
> 西村です。
>
> upki-portal.nii.ac.jp上のCMS、DrupalのShibboleth化を試みて
> おります。
> (その過程での試行錯誤については別途投稿する予定です)
>
> 一点だけ設定での質問、というか疑問がありましたのでお知恵を
> 拝借できればと思います。
>
> Drupalで扱うユーザ情報は以下のものだけです。
> - ユーザー名
> - メールアドレス
> ユーザー名は一意であればなんでもよく、一般の閲覧者には目に
> 触れない情報で、ログ等でしか現われません。ログインした人が
> 「ああ、この人が更新したのか」と確認する程度の用途しかあり
> ません。
> (Shibboleth Loginですのでログインするときに入力するUsername:
> とも概念的には別個のものです)
>
> ここで「ユーザー名」としてどの属性を使うか、
> 1. eduPersonPrincipalName (ePPN)
> 2. mail
> 3. eduPersonTargetedID
> 4. その他
> で悩んでいます。
> NIIのIdPは1と2が同じもののようなので悩みも少ないのですが、
> - うちのePPNは他人が見てもたぶんその人を特定できないだろう
> とか
> - 実はmailは一意ではない
> とかいう事情がありましたら教えてください。
>
> # 3はありえないなと思いつつ書いています。Drupalが氏名等を
> # 保持していれば話は違ったのでしょうが。
>
> p.s.
> 現状ではあくまで技術的な検証段階ですので、upki-portalをシボ
> レス化してみんなで更新しよう!という話ではありませんので
> あしからず。
> とはいえ上記の議論が成り立たないかもしれませんので、「もし
> 自分(のところのIdP)が参加するなら」という仮定で話していただ
> ければと思います。
>
> --
> 西村健
> 国立情報学研究所 TEL:03-4212-2720
>
--
Toyokazu AKIYAMA
Faculty of Computer Science and Engineering,
Kyoto Sangyo University
TEL/FAX: +81-75-705-1531