[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:211] Re: UPKIフェデレーションの属性追加について



岡部さん、

> 「全国規模の一元的なシステムはやらない方が全体として安全」というご指摘に
> は同感です。UPKIの最初の頃に日本全体の認証基盤をどういうアーキテクチャに
> するかいろいろな可能性を考えましたが、少なくともNIIに集中させるような
> のはあり得ないと確信しました;)

「確信」ということで、安心しました。
 
> ただ一方で、Shibbolethのようなフェデレーションは大学間だけでなく大学内で
> も用いられうるものであり(京大では実際そうしています)、そこで職員番号・
> 学生番号のようなデータをやりとりすることはアリだと思います。もちろんその
> 場合には大学で閉じた属性を使ってもいいわけですが、尾崎さんの提案のように
> 学認としての共通属性を決めておいて必要なときにはそれを使うことは、設定情
> 報の互換性の点でメリットがあります。もちろん、攻撃者に対してはどの属性名
> でどういう情報が入っているかのヒントを与えるというセキュリティ上のマイナ
> ス面もありトレードオフではありますが。

そうなんですよね、そのあたりのバランスがよくわからないのです。千葉でも、
この切り分けというか、全体バランスの感じについて悩み中というところです。

土屋