[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00570] Re: not-requested attributes at uApprove controller page



土屋様
西村です。

いろいろと要望・質問等受け取っており、満足に回答できていないところ
誠に申し訳ございません。
他の方からもいただいておりますご指摘を含めまして、uApprove.jpの
新しいバージョンを提供すべく努力しております。

下記ご指摘の点につきましては、PermitValueRuleにrequestedOnly属性
を付加することにより所望の動作が得られませんでしょうか?
https://www.gakunin.jp/docs/files/uApprove.jp-installation_ja.html#attribute-filter

(2012/12/13 16:32), TSUCHIYA Masatoshi wrote:
> 土屋です.
> 
> 鹿児島大学で uApprove.jp についてしゃべった時に,九州大学の参加者の方から
> 出てきたコメントについて,こちらでも動作検証してみました.結論から言え
> ば,九州大学の参加者の方の意見はまことにもっともで,改修して頂けないかと
> 私も思います.
> 
> https://meatwiki.nii.ac.jp/ のように,SP の metadata において
> requestedattribute が宣言されている場合に問題が顕在化します.
> 折角,SP の metadata で requestedattribute が宣言されているのですから,
> IdP の管理者としては,attribute-filter.xml の設定を手抜きしたいので,
> 
>    <!--  Relase attributes to uApprove supported SPs -->
>    <afp:AttributeFilterPolicy id="PolicyforUApproveSPs">
>      <afp:PolicyRequirementRule xsi:type="uajpmf:AttributeUapprove" />
>      <afp:AttributeRule attributeID="transientId">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="eduPersonAffiliation">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="eduPersonScopedAffiliation">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>      (中略)
>      <afp:AttributeRule attributeID="jaGivenName">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="mail">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>    </afp:AttributeFilterPolicy>
>      
> というように,ユーザの判断に委ねても良い属性を全て列挙することになると思
> います.そうすると,末尾に添付したスクリーンショットのように,ユーザの判
> 断に委ねる属性がずらーっと列挙されてしまうことになります.
> 
> ここでは,SP 側の metadata で requestedattribute で宣言されている属性と
> の AND をとって,この SP でオプショナルで必要としている属性のみを列挙す
> るように改修して頂けないでしょうか?
> 
> CiNii のように,SP 側の metadata において requestedattribute が宣言されて
> いない SP の場合は attribute-filter.xml において,
> 
>    <afp:AttributeFilterPolicy id="localPolicyForCiNii">
>      <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://register-ci.nii.ac.jp/shibboleth-sp" />
>      <afp:AttributeRule attributeID="jaOrganizationName">
>        <afp:PermitValueRule xsi:type="basic:ANY" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="eduPersonTargetedID">
>        <afp:PermitValueRule xsi:type="basic:ANY" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="organizationalUnit">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="jaOrganizationalUnit">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="jaSurName">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="jaGivenName">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>      <afp:AttributeRule attributeID="mail">
>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>      </afp:AttributeRule>
>    </afp:AttributeFilterPolicy>
> 
> というように明示的に書くしかないため,オプショナルな属性が過剰に列挙され
> る問題は顕在化しません.
> 
> よろしくご検討をお願いします.

-- 
西村健
国立情報学研究所 TEL:03-4212-2890