土屋です.
鹿児島大学で uApprove.jp についてしゃべった時に,九州大学の参加者の方から
出てきたコメントについて,こちらでも動作検証してみました.結論から言え
ば,九州大学の参加者の方の意見はまことにもっともで,改修して頂けないかと
私も思います.
https://meatwiki.nii.ac.jp/ のように,SP の metadata において
requestedattribute が宣言されている場合に問題が顕在化します.
折角,SP の metadata で requestedattribute が宣言されているのですから,
IdP の管理者としては,attribute-filter.xml の設定を手抜きしたいので,
<!-- Relase attributes to uApprove supported SPs -->
<afp:AttributeFilterPolicy id="PolicyforUApproveSPs">
<afp:PolicyRequirementRule xsi:type="uajpmf:AttributeUapprove" />
<afp:AttributeRule attributeID="transientId">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="eduPersonAffiliation">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="eduPersonScopedAffiliation">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
(中略)
<afp:AttributeRule attributeID="jaGivenName">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="mail">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy>
というように,ユーザの判断に委ねても良い属性を全て列挙することになると思
います.そうすると,末尾に添付したスクリーンショットのように,ユーザの判
断に委ねる属性がずらーっと列挙されてしまうことになります.
ここでは,SP 側の metadata で requestedattribute で宣言されている属性と
の AND をとって,この SP でオプショナルで必要としている属性のみを列挙す
るように改修して頂けないでしょうか?
CiNii のように,SP 側の metadata において requestedattribute が宣言されて
いない SP の場合は attribute-filter.xml において,
<afp:AttributeFilterPolicy id="localPolicyForCiNii">
<afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://register-ci.nii.ac.jp/shibboleth-sp" />
<afp:AttributeRule attributeID="jaOrganizationName">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="eduPersonTargetedID">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="organizationalUnit">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="jaOrganizationalUnit">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="jaSurName">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="jaGivenName">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="mail">
<afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy>
というように明示的に書くしかないため,オプショナルな属性が過剰に列挙され
る問題は顕在化しません.
よろしくご検討をお願いします.
--
土屋 雅稔 ( TSUCHIYA Masatoshi )Attachment:
meatwiki-uapprove.png
Description: PNG image
