[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00579] Re: 【学認】新規 SPのご紹介〔学認連携Moodle 講習サイトβ〕



増田様
西村です。

> そもそもの話として、Moodleに管理者としてログイン可能とすると、
> 新規コース作成などが自由にできてしまうので、
> 運用上の問題が発生してしまうのではないかと懸念しております。

こちらは私には判断がつかないのですが、上田先生いかがでしょうか?

> うまく動作しないケースがありますのでご教示頂ければと思います。

すみません。私の先の記述が不足しておりました。
先の記述のままだと、Scopus等には両方の属性値が渡ることになります。SP側で複数の
値を想定していない場合には問題が発生しますし、そうでない場合でも
余計な情報が渡ることになるため好ましくありません。

Moodle講習サイトβ以外のSPに対して従来通りの動作に戻すには、attribute-filter.xmlの
          <afp:AttributeRule attributeID="eduPersonEntitlement">
              <afp:PermitValueRule xsi:type="basic:ANY" />
          </afp:AttributeRule>
となっている部分を全て
          <afp:AttributeRule attributeID="eduPersonEntitlement">
              <afp:PermitValueRule xsi:type="basic:AttributeValueString" value="urn:mace:dir:entitlement:common-lib-terms" />
          </afp:AttributeRule>
で置き換えてください。

(2012/12/20 9:41), Takashi MASUDA wrote:
> 西村先生
> 
> いつもお世話になっております。
> 愛媛大学IdP運用担当者の増田です。
> 
> 愛媛大学のIdPでも学認連携Moodle 講習サイトβを利用できるよう設定を試みており
> ますが
> うまく動作しないケースがありますのでご教示頂ければと思います。
> 
> Moodle 講習サイトβのIdP設定方法のページと当MLの情報を参照して設定したとこ
> ろ、
> Moodle講習サイトβについては、想定通りに通常ユーザーと管理者を区別してログイ
> ンできるようになりました。
> しかしながら、Elsevier SCOPUSなど、eduPersonEntitlementに
> urn:mace:dir:entitlement:common-lib-termsを要するSPに
> ログインする際に、通常ユーザは正常にログインできますが、
> urn:mace:nii.ac.jp:moodle:course-adminを設定した
> 管理者ユーザについてSP側でエラーとなりログインできません。
> 
> そもそもの話として、Moodleに管理者としてログイン可能とすると、
> 新規コース作成などが自由にできてしまうので、
> 運用上の問題が発生してしまうのではないかと懸念しております。
> 
> 以上、よろしくお願い致します。
> 
> --
> _/_/_/_/_/_/_/_/_/_/_/_/_/_/
>    愛媛大学 研究支援部 
>   総合情報メディアセンター 事務課 
>          情報基盤チーム 技術員
>              増田 隆司
>     tel : 089-927-8975(内線:8975)
>     mail: xxxxx@xxxxxxxxxxxxx
> _/_/_/_/_/_/_/_/_/_/_/_/_/_/
> 
> 
> -----Original Message-----
> From: xxxxxxx@xxxxxxxxx [mailto:xxxxxxx@xxxxxxxxx]
> Sent: Thursday, December 06, 2012 5:29 AM
> To: xxxxxxxx@xxxxxxxxx
> Subject: [upki-fed:00549] Re: 【学認】新規 SPのご紹介〔学認連携Moodle 講習サ
> イトβ〕
> 
> 西村です。
> 
> すみません。動作検証に時間がかかり反応が遅れました。
> eduPersonEntitlementは他の属性と違ってSP毎に送る値が異なるので学認推奨
> 設定のようなものをちゃんと定めないといけないですね。
> 以下に2つの方法を記しましたが、どちらが好みでしょうか? > みなさま
> 
> まず、以前の情報では以下に記載があります。
> [upki-fed:00445] Re: SPに応じて送出する属性値を変換可能?
> https://www.gakunin.jp/ml-archives/upki-fed/msg00433.html
> 上記では、attribute-resolve.xmlのid="eduPersonEntitlement"の
> いる部分を変更して複数用意し、attribute-filter.xmlでSP毎に
> それぞれを指定して送る内容を変更していました。
> 
> このメールではもう一つ別の方法を記します。
> 
> Dependencyを複数書くことができるので、staticEntitlementとmappedAffiliation
> の両方をDependencyに書きます。
> 加えて、そのままだとcommon-lib-termsとcourse-adminの両方が
> security-learningと電子ジャーナルサイトに流れることになるので、
> 必要なものだけを通すように変更します。
> 	<afp:PermitValueRule xsi:type="basic:AttributeValueString"
> value="urn:mace:nii.ac.jp:moodle:course-admin" /> # urn:mace:の値が登録され
> たものではないようなのですが気にしないことにします
> このほか、Elsevier等にcommon-lib-termsのみを通す設定をいれなければなりません
> が、省略します。
> 
> 最後に、上記をまとめたものを示します。
> attribute-resolver.xml:
> ...
>       <resolver:AttributeDefinition xsi:type="ad:Simple"
> id="eduPersonEntitlement" sourceAttributeID="eduPersonEntitlement">
>           <resolver:Dependency ref="staticEntitlement" />
>           <resolver:Dependency
> ref="mappedEntitlementForSecurityLearningNiiAcJp" /> <-- 追加
>           <resolver:AttributeEncoder xsi:type="enc:SAML1String"
> name="urn:mace:dir:attribute-def:eduPersonEntitlement" />
>           <resolver:AttributeEncoder xsi:type="enc:SAML2String"
> name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement"
> />
>       </resolver:AttributeDefinition>
> ...
>       <resolver:AttributeDefinition
> id="mappedEntitlementForSecurityLearningNiiAcJp" xsi:type="Mapped"
>        xmlns ="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="uid">
>         <resolver:Dependency ref="myLDAP" />
> 
>         <!-- if the name is not in the expected format, just return it as-is
> -->
>         <DefaultValue></DefaultValue>
> 
>         <ValueMap>
>           <ReturnValue>urn:mace:nii.ac.jp:moodle:course-admin</ReturnValue>
>           <SourceValue>ID1</SourceValue>
>           <SourceValue>ID2</SourceValue>
>           <SourceValue>ID3</SourceValue>
>         </ValueMap>
> 
>       </resolver:AttributeDefinition>
> ...
> 
> attribute-filter.xml:
> ...
>       <!-- security-learning.nii.ac.jp -->
>       <afp:AttributeFilterPolicy
> id="releaseAttributesToSecurityLearningNiiAcJp">
>           <afp:PolicyRequirementRule
> xsi:type="basic:AttributeRequesterString"
> value="https://security-learning.nii.ac.jp/shibboleth-sp" />
>           <afp:AttributeRule attributeID="organizationName">
>               <afp:PermitValueRule xsi:type="basic:ANY" />
>           </afp:AttributeRule>
>           <afp:AttributeRule attributeID="eduPersonTargetedID">
>               <afp:PermitValueRule xsi:type="basic:ANY" />
>           </afp:AttributeRule>
>           <afp:AttributeRule attributeID="eduPersonEntitlement">
>               <afp:PermitValueRule xsi:type="basic:AttributeValueString"
> value="urn:mace:nii.ac.jp:moodle:course-admin" />
>           </afp:AttributeRule>
>       </afp:AttributeFilterPolicy>
> ...
> 
> 
> On 2012/12/04, at 16:08, matuzawa wrote:
> 
>> 上田先生
>> 五十嵐先生
>>
>> 宮崎大学 松澤です。
>>
>> お二人とも、早速のフォロー有難うございました。
>> おかげさまで学認連携Moodle講習サイトβにログインできるようになりました。
>> 有難うございました。
>> moodleは使ったことが無いので、いまいち使い方が分かりません。
>> 一度、勉強しなおして利用したいと思います。
>>
>> 〒889-2192 宮崎市学園木花台西1丁目1番地
>>     宮崎大学 情報基盤センター
>>         松澤 英之
>>   TEL 0985-58-7817 FAX 0985-58-2810
>>    xxxxxxxx@xxxxxxxxxxxxxxxxxxx
>> ----- Original Message -----
>>>> From: Hiroshi UEDA <xxx@xxxxxxxxxxxxxxxxxxx>
>>>> To: xxxxxxxx@xxxxxxxxx
>>>> Date: 2012-12-04 15:31:34
>>>> Subject: [upki-fed:00546] Re: 【学認】新規SPのご紹介〔学認連携Moodle 講
> 習サイトβ〕
>>>>
>>>> 上田です。
>>>>
>>>> 五十嵐様フォローありがとうございます。学認連携Moodle講習サイトβにも掲載
>>>> しました。
>>>> https://security-learning.nii.ac.jp/mdl/mod/page/view.php?id=118
>>>> 松澤先生、よろしくご利用ください。
>>>>
>>>> (2012/12/04 15:12), Kaz IGARASHI wrote:
>>>>> 松澤様
>>>>>
>>>>> お世話になっております.成城大学五十嵐と申します.
>>>>>
>>>>> eduPersonEntitlement を mappedAffiliation に変更し,static に設定してい
> た値を
>>>>> mappedAffiliation
>>>>> 内の DefaultValue とすることで対応できるかと思います.
>>>>>
>>>>> 取り急ぎ
>>>>>
>>>>> ----- Original Message -----
>>>>>>> From: matuzawa <xxxxxxxx@xxxxxxxxxxxxxxxxxxx>
>>>>>>> To: xxxxxxxx@xxxxxxxxx
>>>>>>> Date: 2012-12-04 11:44:19
>>>>>>> Subject: [upki-fed:00544] Re: 【学認】新規SPのご紹介〔学認連携Moodle
> 講習サイトβ〕
>>>>>>>
>>>>>>> 上田先生
>>>>>>>
>>>>>>> 宮崎大学 松澤です。
>>>>>>>
>>>>>>> 「学認連携 Moodle 講習サイトβ」の設定を行ってみました。
>>>>>>> Moodle 講習サイトβのIdPの設定において
>>>>>>>
>>>>>>> attribute-resolver.xml に以下の様に"eduPersonEntitlement"を追加するよ
> うに書かれております。
>>>>>>>       <resolver:AttributeDefinition xsi:type="ad:Simple"
> id="eduPersonEntitlement" sourceAttributeID="eduPersonEntitlement">
>>>>>>>           <resolver:Dependency ref="mappedAffiliation" />
>>>>>>>                  ^^^^^^^^^^^^^^^^^^^
>>>>>>> 一方、学認の属性リストには、
>>>>>>>      <resolver:AttributeDefinition id="eduPersonEntitlement"
> xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad"
>>>>>>>           sourceAttributeID="eduPersonEntitlement">
>>>>>>>          <resolver:Dependency ref="staticEntitlement" />
>>>>>>>                                    ^^^^^^^^^^^^^^^^^
>>>>>>> とDependency ref="staticEntitlement"となっています。
>>>>>>>
>>>>>>> ためしに、両方の設定をattribute-resolver.xmlに記述したら、エラーが出
> ました。
>>>>>>> 従来の"eduPersonEntitlement"の設定と矛盾無くMoodle 講習サイトβの設定
> を行うことは可能なのでしょうか?
>>>>>>> 或は、Moodle 講習サイトβの設定だけでよいのでしょうか?
>>>>>>>
>>>>>>> よろしくお願いします。
>>>>>>>
>>>>>>> 〒889-2192 宮崎市学園木花台西1丁目1番地
>>>>>>>      宮崎大学 情報基盤センター
>>>>>>>          松澤 英之
>>>>>>>    TEL 0985-58-7817 FAX 0985-58-2810
>>>>>>>     xxxxxxxx@xxxxxxxxxxxxxxxxxxx
>>>>>>>
>>>>>>> ----- Original Message -----
>>>>>>>>> From: Hiroshi UEDA <xxx@xxxxxxxxxxxxxxxxxxx>
>>>>>>>>> To: xxxxxxxx@xxxxxxxxx
>>>>>>>>> Date: 2012-11-30 16:10:11
>>>>>>>>> Subject: [upki-fed:00543] 【学認】新規SPのご紹介〔学認連携Moodle 講
> 習サイトβ〕
>>>>>>>>>
>>>>>>>>> 皆様
>>>>>>>>>
>>>>>>>>> 京都大学の上田です。
>>>>>>>>>
>>>>>>>>> [upki-fed:00533] の「Moodle × 学認 = みんなで使える情報セキュリ
> ティ教
>>>>>>>>> 育」でご紹介した、「学認連携 Moodle 講習サイトβ」運用開始のお知ら
> せです。
>>>>>>>>>
>>>>>>>>> https://security-learning.nii.ac.jp/
>>>>>>>>>
>>>>>>>>> 本サイトは国立情報学研究所 高等教育機関における情報セキュリティポ
> リシー
>>>>>>>>> 推進部会の活動の一環で、情報セキュリティ教育のための共通コンテンツ
> とその
>>>>>>>>> 受講履歴の提供が可能です。利用のためには各機関での IdP 設定が必要と
> なり
>>>>>>>>> ます。設定を以下にまとめてありますのでご参照ください。
>>>>>>>>>
>>>>>>>>> https://security-learning.nii.ac.jp/mdl/mod/page/view.php?id=11
>>>>>>>>> 8

-- 
西村健
国立情報学研究所 TEL:03-4212-2890