[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00571] Re: not-requested attributes at uApprove controller page



西村様

下記,うまくいきました.どうも有難うございました.

‥‥ということは,全ての SP が requestedattribute をきちんと付与してくれ
るようになれば,

    https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PIxxxxJP

を読み込む設定は不要にならないでしょうか? 学認申請システムからダウンロー
ドできる attribute-filter と uapprove は,どのように使い分けることが想定
されているのかイマイチ分かりません‥‥.

>> On Thu, 13 Dec 2012 16:51:17 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:

>下記ご指摘の点につきましては、PermitValueRuleにrequestedOnly属性
>を付加することにより所望の動作が得られませんでしょうか?
>https://www.gakunin.jp/docs/files/uApprove.jp-installation_ja.html#attribute-filter

>> https://meatwiki.nii.ac.jp/ のように,SP の metadata において
>> requestedattribute が宣言されている場合に問題が顕在化します.
>> 折角,SP の metadata で requestedattribute が宣言されているのですから,
>> IdP の管理者としては,attribute-filter.xml の設定を手抜きしたいので,
>> 
>>    <!--  Relase attributes to uApprove supported SPs -->
>>    <afp:AttributeFilterPolicy id="PolicyforUApproveSPs">
>>      <afp:PolicyRequirementRule xsi:type="uajpmf:AttributeUapprove" />
>>      <afp:AttributeRule attributeID="transientId">
>>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>>      </afp:AttributeRule>
>>      (中略)
>>      <afp:AttributeRule attributeID="mail">
>>        <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>>      </afp:AttributeRule>
>>    </afp:AttributeFilterPolicy>
>>      
>> というように,ユーザの判断に委ねても良い属性を全て列挙することになると思
>> います.そうすると,末尾に添付したスクリーンショットのように,ユーザの判
>> 断に委ねる属性がずらーっと列挙されてしまうことになります.
>> 
>> ここでは,SP 側の metadata で requestedattribute で宣言されている属性と
>> の AND をとって,この SP でオプショナルで必要としている属性のみを列挙す
>> るように改修して頂けないでしょうか?

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )