[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00445] Re: SPに応じて送出する属性値を変換可能?
- Subject: [upki-fed:00445] Re: SPに応じて送出する属性値を変換可能?
- Date: Wed, 18 Apr 2012 11:37:14 +0900
- From: Takuya Matsuhira <xxxxxxx@xxxxxxxxxxxxxxxxxxxxxxxx>
京都産業大学 尾崎様
お世話になっております。
金沢大学総合メディア基盤センター 松平です。
ご返答ありがとうございます。
なるほど、このような方法が実現できるとは知りませんでした。
まだ、実際に検証していないのですが、テストしてみて、うまくいけば
シンプルでよさそうな気がします。
取り急ぎ、お礼とご報告まで。
(2012/04/17 16:53), OZAKI Koji wrote:
> 京都産業大学の尾崎と申します。
>
> attribute-resolver.xml で次のようにOIDを揃えて2つの定義をしておき,
>
> <resolver:AttributeDefinition id="eduPersonEntitlement-sp01" xsi:type="Simple" (略)>
> <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
> name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" />
> </resolver:AttributeDefinition>
>
> <resolver:AttributeDefinition id="eduPersonEntitlement-sp02" xsi:type="Simple" (略)>
> <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
> name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" />
> </resolver:AttributeDefinition>
>
>
> attribute-filter.xml でSPごとに送る方を選ぶ,という方法でいかがでしょうか。
>
> <AttributeFilterPolicy id="SP1">
> <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://sp1.ac.jp/shibboleth" />
> <AttributeRule attributeID="eduPersonEntitlement-sp01"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule>
> </AttributeFilterPolicy>
>
> <AttributeFilterPolicy id="SP2">
> <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://sp2.ac.jp/shibboleth" />
> <AttributeRule attributeID="eduPersonEntitlement-sp02"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule>
> </AttributeFilterPolicy>
>
> ---------------
> 京都産業大学 情報センター 尾崎 孝治
>
>
>
>>
>> お世話になっております。
>> 金沢大学総合メディア基盤センター 松平です。
>>
>> SPに対して、同じ属性名で異なる値が送れないか
>> と考えております。
>>
>> 具体的にはあるユーザの
>> uid が abcde としてLDAPに格納されているとします。
>>
>> SP-Aにはそのままuid=abcdeとして、送信し。
>> SP-Bにはuidを変換して、uid=12345として送信。
>>
>> ということができないかと思っております。
>>
>> LDAPの属性値をScriptで変換をかけ、SPに送信する
>> ことはattribute-resolver.xml内で実現できるの
>> ですが、SP毎に属性値を変換して送信することが
>> できたらうれしいです。
>>
>> もしご存知の方がいらっしゃいましたら、
>> ご教授いただけましたら幸いです。
>>
>>
>>