[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00570] Re: not-requested attributes at uApprove controller page
- Subject: [upki-fed:00570] Re: not-requested attributes at uApprove controller page
- Date: Thu, 13 Dec 2012 16:51:17 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
土屋様
西村です。
いろいろと要望・質問等受け取っており、満足に回答できていないところ
誠に申し訳ございません。
他の方からもいただいておりますご指摘を含めまして、uApprove.jpの
新しいバージョンを提供すべく努力しております。
下記ご指摘の点につきましては、PermitValueRuleにrequestedOnly属性
を付加することにより所望の動作が得られませんでしょうか?
https://www.gakunin.jp/docs/files/uApprove.jp-installation_ja.html#attribute-filter
(2012/12/13 16:32), TSUCHIYA Masatoshi wrote:
> 土屋です.
>
> 鹿児島大学で uApprove.jp についてしゃべった時に,九州大学の参加者の方から
> 出てきたコメントについて,こちらでも動作検証してみました.結論から言え
> ば,九州大学の参加者の方の意見はまことにもっともで,改修して頂けないかと
> 私も思います.
>
> https://meatwiki.nii.ac.jp/ のように,SP の metadata において
> requestedattribute が宣言されている場合に問題が顕在化します.
> 折角,SP の metadata で requestedattribute が宣言されているのですから,
> IdP の管理者としては,attribute-filter.xml の設定を手抜きしたいので,
>
> <!-- Relase attributes to uApprove supported SPs -->
> <afp:AttributeFilterPolicy id="PolicyforUApproveSPs">
> <afp:PolicyRequirementRule xsi:type="uajpmf:AttributeUapprove" />
> <afp:AttributeRule attributeID="transientId">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="eduPersonAffiliation">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="eduPersonScopedAffiliation">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> (中略)
> <afp:AttributeRule attributeID="jaGivenName">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="mail">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> </afp:AttributeFilterPolicy>
>
> というように,ユーザの判断に委ねても良い属性を全て列挙することになると思
> います.そうすると,末尾に添付したスクリーンショットのように,ユーザの判
> 断に委ねる属性がずらーっと列挙されてしまうことになります.
>
> ここでは,SP 側の metadata で requestedattribute で宣言されている属性と
> の AND をとって,この SP でオプショナルで必要としている属性のみを列挙す
> るように改修して頂けないでしょうか?
>
> CiNii のように,SP 側の metadata において requestedattribute が宣言されて
> いない SP の場合は attribute-filter.xml において,
>
> <afp:AttributeFilterPolicy id="localPolicyForCiNii">
> <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://register-ci.nii.ac.jp/shibboleth-sp" />
> <afp:AttributeRule attributeID="jaOrganizationName">
> <afp:PermitValueRule xsi:type="basic:ANY" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="eduPersonTargetedID">
> <afp:PermitValueRule xsi:type="basic:ANY" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="organizationalUnit">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="jaOrganizationalUnit">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="jaSurName">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="jaGivenName">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> <afp:AttributeRule attributeID="mail">
> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
> </afp:AttributeRule>
> </afp:AttributeFilterPolicy>
>
> というように明示的に書くしかないため,オプショナルな属性が過剰に列挙され
> る問題は顕在化しません.
>
> よろしくご検討をお願いします.
--
西村健
国立情報学研究所 TEL:03-4212-2890