[upki-fed:00447] Re: FYI: ブラウザのIPアドレスを元に属性を生成するIdPプラグイン

[Yasuo Okabe <xxxxx@xxxxxxxxxxxxxxx>]

例えばですが、学内のいくつかの研究室だけが契約している電子ジャーナルを、 
IPアドレスに基づいて制限したい、だけど細かいサブネットがいくつもあってし 
かも時々変わるのでSP側にはそんな細かい対応は求められないし、かといって大 
学側ではIPアドレスでフィルタはできてもSP側のコンテンツの提供条件を変える 
ことはできない、というときに、IdP側でIPアドレスを見て属性をつけ、SP側で 
は属性で提供サービスを変える、というようなことができますね。もちろんSP側 
の対応が必要ですが。


(2012/04/18 20:23), Takeshi NISHIMURA wrote:
> 西村です。
>
> おもしろいIdPプラグインを見つけましたのでご紹介させていただきます。
>
> URLは最後に貼付した英文メール中にありますが、このIdPプラグインを
> 使えば利用者がどこからアクセスしているか(アクセス元IPアドレス)に
> 応じて、例えば学内の場合のみ1になる属性を生成することができます。
> これ単体で学認の属性として使うことはないと思いますが、既存の
> 属性とattribute-resolver.xml/attribute-filter.xmlで組み合わせれば、
> 例えば学内からのアクセスの場合のみに正当なeduPersonEntitlement属性
> を送出するようなことが考えられます。
>
> そもそも、学認はどこからでもアクセスできるのが売りですので、利用者が
> どこからアクセスしているかで結果を変える必要があるというのがかなりの
> レアケースかもしれませんが、そのようなケースでは役に立つと思いますの
> で、ご参考まで。
>
> -------- Original Message --------
> Subject: User Agent Based Attributes Extensions
> Date: Thu, 12 Apr 2012 11:23:43 -0400
> From: Chad La Joie <xxxxxx@xxxxxxxxx>
> Reply-To: Shib Dev <xxx@xxxxxxxxxxxxxx>
> To: Shib Dev <xxx@xxxxxxxxxxxxxx>
>
> The UK Federation asked me to create a plugin that could generate
> attributes, during attribute resolution, based on the IP address of
> the user agent at the time of authentication. The extension works for
> both front and back-channel requests.
>
> Now that the plugin is complete, they have made it available on github
> in case others would have a use for it. You can find the information
> on the plugin here:
>
> https://github.com/ukf/ua-attribute-idp-ext


--
Yasuo Okabe
Academic Center for Computing and Media Studies, Kyoto University
http://www.net.ist.i.kyoto-u.ac.jp