[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:268] Re: Webアプリケーションのシボレス化について
- Subject: [upki-fed:268] Re: Webアプリケーションのシボレス化について
- Date: Sat, 23 Oct 2010 08:36:12 +0900
- From: Toshihiro INOUE <xxxxxxxx@xxxxxxxxxxxxxxxxxxx>
みなさま
いつもお世話になります。京都大学附属図書館システム管理掛の井上です。
先日このMLに出した[Subject: Webアプリケーションのシボレス化について]
へのご回答として、個別にメールをいただきました。有難うございました。
---
●動作するOSやプログラムの構造などにより、開発コストは様々と思わ
れる。
●シボレスとは全く違う仕組み、かつ他システムとSSO連携実績のある
仕組みを流用することでも、シボレス対応は可能。
→apache から渡される環境変数をチェックして、ログインしたことにする。
プログラムのシボレス対応は、apacheから環境変数が渡ってくる。
その環境変数に値(LDAPの属性情報)があれば、IdPで認証されている
という形。プログラムでの対応は、この環境変数を見てチェックする
だけ。
もう少し技術的なところは以下。
例えば、http://xxx.ac.jp/service/odr.php というアドレスにアクセス
されると、odr.phpのプログラムが呼び出される前に自動的にリダイレクト
されて、IdP側のログイン画面が表示される。
IdPでログイン後は、自動的にhttp://xxx.ac.jp/service/odr.php
にリダイレクトされて戻ってくる。その時に環境変数が設定されており、
プログラムに渡される。
(シボレスのセッションはCookieで管理)
この自動的にというところが、SP側対応。(SP側は、apacheのDSOモジュ
ールとして組み込まれ、http,httpsの要求が一旦シボレスのDSOで横取り
されてチェックされる。
未ログインならIdPにリダイレクト、ログインされていれば環境変数と
ともに実際のURLのプログラムが呼び出される。)
●ログイン後は、プログラムが持つセッションでの管理となるため、
通常のログインとシボレスの違いはない。
●IdPでの認証が通らない(LDAPに登録されていない)ユーザもログイン
させたい場合には、ログインの入り口を工夫する等、考慮が必要。
また、他に
〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜
コンテンツ、サービス等を提供している事業者の方が、自コンテンツ等
をShibboleth対応させたい場合、
・フロントエンドにShibboleth対応のリバースプロキシ(例えばEZProxy等)
を入れる。
・EZProxyでなくても、apacheのmod_shibとmod_proxyの設定でも可能。
・基本的にSAML2.0に対応していればShibboleth対応は原理的には可能。
ただし、Shibboleth用の設定を多数定義しなくてはならず、ノウハウ
の蓄積が重要。(これからです。)
〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜・〜〜〜
とのご意見も別の方から、いただいております。有難うございます。
今後とも、いろいろな情報をいただけると幸いです。
よろしくお願い致します。
On Thu, 21 Oct 2010 14:36:39 +0900
Toshihiro Inoue <xxxxxxxx@xxxxxxxxxxxxxxxxxxx> wrote:
> みなさま
>
> 日頃からお世話になります。京都大学附属図書館システム管理掛の井上です。
>
> 本ML( https://upki-portal.nii.ac.jp/docs/fed/ml )は、アーカイブが
> Webで公開されているので、参加登録している方のみが記事をお読みになられ
> ている、とは限りませんが、どのくらいの数、どういった業種の方が登録
> されておられるのでしょう。
>
> 調べてほしい、とか、名乗りをあげてほしい訳ではなくて、以下のような事
> が知りたくて、なのですが。
>
> Shibboleth技術を使った学認を普及させるには?ということを考えていたら
> 「対応spが多くなっていく状況が普及を促す」と思っていたら、「まず普及
> がないと、対応しにくい。」つまり、新たな技術に対応するには、それ
> なりの開発コストがかかり、ユーザーの要望が高まらないと、採算に合わない
> よ、というご意見を耳にしました。
>
> ユーザーの要望と開発コストを勘案して決まっていくのだと思いますが、
> そもそも開発コストはどの程度なのだろう・・・というところが気になりま
> す。
>
> 本MLには、(すみません名前を出して)エルゼビア社様が入っておられたと
> 記憶していますが、ScienceDirect/Scopusを、Shibboleth対応させるには、
> やはりそれなりのご苦労はありましたか。
>
> 対応させるにも、いろいろな方法、技術があり、やり方によって、コストも
> 様々だと思います。
>
> 先行で取り組んでおられるところや、先生方から、これから、Shibboleth対応
> を検討される方のために、何か良いアドバイスがいただけ、情報共有できれば
> 良いのに、と思った次第です。
>
> 国立情報学研究所様の方でも、学認のページでも、
> https://upki-portal.nii.ac.jp/docs/fed/technical/sp/WebApp
> 「Webアプリケーションのシボレス化」のように、ご案内いただいているのです
> が、実体験のような情報があるとさらに良いのかも、と思いました。
--
=================================================
京都大学附属図書館情報管理課
電子化推進グループ(システム管理掛)
専門職員 井上敏宏
E-mail xxxxxxxx@xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxx
〒606-8501 京都市左京区吉田本町36-1
TEL 075-753-2646 FAX 075-753-2649