[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:268] Re: Webアプリケーションのシボレス化について



みなさま

いつもお世話になります。京都大学附属図書館システム管理掛の井上です。

先日このMLに出した[Subject: Webアプリケーションのシボレス化について]
へのご回答として、個別にメールをいただきました。有難うございました。

---
●動作するOSやプログラムの構造などにより、開発コストは様々と思わ
 れる。

●シボレスとは全く違う仕組み、かつ他システムとSSO連携実績のある
 仕組みを流用することでも、シボレス対応は可能。

 →apache から渡される環境変数をチェックして、ログインしたことにする。

  プログラムのシボレス対応は、apacheから環境変数が渡ってくる。
  その環境変数に値(LDAPの属性情報)があれば、IdPで認証されている
  という形。プログラムでの対応は、この環境変数を見てチェックする
  だけ。

 もう少し技術的なところは以下。
  例えば、http://xxx.ac.jp/service/odr.php というアドレスにアクセス
  されると、odr.phpのプログラムが呼び出される前に自動的にリダイレクト
  されて、IdP側のログイン画面が表示される。
  IdPでログイン後は、自動的にhttp://xxx.ac.jp/service/odr.php
  にリダイレクトされて戻ってくる。その時に環境変数が設定されており、
  プログラムに渡される。
  (シボレスのセッションはCookieで管理)
  この自動的にというところが、SP側対応。(SP側は、apacheのDSOモジュ
  ールとして組み込まれ、http,httpsの要求が一旦シボレスのDSOで横取り
  されてチェックされる。
  未ログインならIdPにリダイレクト、ログインされていれば環境変数と
  ともに実際のURLのプログラムが呼び出される。)

●ログイン後は、プログラムが持つセッションでの管理となるため、
 通常のログインとシボレスの違いはない。

●IdPでの認証が通らない(LDAPに登録されていない)ユーザもログイン
 させたい場合には、ログインの入り口を工夫する等、考慮が必要。


また、他に
〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜
コンテンツ、サービス等を提供している事業者の方が、自コンテンツ等
をShibboleth対応させたい場合、

・フロントエンドにShibboleth対応のリバースプロキシ(例えばEZProxy等)
 を入れる。

・EZProxyでなくても、apacheのmod_shibとmod_proxyの設定でも可能。

・基本的にSAML2.0に対応していればShibboleth対応は原理的には可能。
 ただし、Shibboleth用の設定を多数定義しなくてはならず、ノウハウ
 の蓄積が重要。(これからです。)
〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜

とのご意見も別の方から、いただいております。有難うございます。
今後とも、いろいろな情報をいただけると幸いです。

よろしくお願い致します。



On Thu, 21 Oct 2010 14:36:39 +0900
Toshihiro Inoue <xxxxxxxx@xxxxxxxxxxxxxxxxxxx> wrote:

> みなさま
> 
> 日頃からお世話になります。京都大学附属図書館システム管理掛の井上です。
> 
> 本ML( https://upki-portal.nii.ac.jp/docs/fed/ml )は、アーカイブが
> Webで公開されているので、参加登録している方のみが記事をお読みになられ
> ている、とは限りませんが、どのくらいの数、どういった業種の方が登録
> されておられるのでしょう。
> 
> 調べてほしい、とか、名乗りをあげてほしい訳ではなくて、以下のような事
> が知りたくて、なのですが。
> 
> Shibboleth技術を使った学認を普及させるには?ということを考えていたら
> 「対応spが多くなっていく状況が普及を促す」と思っていたら、「まず普及
>  がないと、対応しにくい。」つまり、新たな技術に対応するには、それ
> なりの開発コストがかかり、ユーザーの要望が高まらないと、採算に合わない
> よ、というご意見を耳にしました。
> 
> ユーザーの要望と開発コストを勘案して決まっていくのだと思いますが、
> そもそも開発コストはどの程度なのだろう・・・というところが気になりま
> す。
> 
> 本MLには、(すみません名前を出して)エルゼビア社様が入っておられたと
> 記憶していますが、ScienceDirect/Scopusを、Shibboleth対応させるには、
> やはりそれなりのご苦労はありましたか。
> 
> 対応させるにも、いろいろな方法、技術があり、やり方によって、コストも
> 様々だと思います。
> 
> 先行で取り組んでおられるところや、先生方から、これから、Shibboleth対応
> を検討される方のために、何か良いアドバイスがいただけ、情報共有できれば
> 良いのに、と思った次第です。
> 
> 国立情報学研究所様の方でも、学認のページでも、
> https://upki-portal.nii.ac.jp/docs/fed/technical/sp/WebApp
> 「Webアプリケーションのシボレス化」のように、ご案内いただいているのです
> が、実体験のような情報があるとさらに良いのかも、と思いました。




-- 
=================================================
京都大学附属図書館情報管理課
電子化推進グループ(システム管理掛)
 専門職員 井上敏宏
E-mail   xxxxxxxx@xxxxxxxxxxxxxxxxxxx
         xxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxx
〒606-8501 京都市左京区吉田本町36-1
TEL  075-753-2646    FAX  075-753-2649