[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00595] Re: attribute-resolver Mapped Attribute Definitionについて



西村先生

愛媛大学の増田です。

私もresolverとfilterの分離性を保つ意味で、
複数Dependencyを書いてフィルタで必要なものを出す方が良いと思います。

attrviewer20でフィルタ設定をしなければ全て表示できるのも
検証の際に便利と感じました。

--
_/_/_/_/_/_/_/_/_/_/_/_/_/_/
  愛媛大学 研究支援部 
  総合情報メディアセンター 事務課 
         情報基盤チーム 技術員
             増田 隆司
   tel : 089-927-8975(内線:8975)
   mail: xxxxx@xxxxxxxxxxxxx
_/_/_/_/_/_/_/_/_/_/_/_/_/_/


-----Original Message-----
From: xxxxxxx@xxxxxxxxx [mailto:xxxxxxx@xxxxxxxxx]
Sent: Thursday, December 27, 2012 1:45 PM
To: xxxxx@xxxxxxxxxxxxx
Cc: xxxxxxxx@xxxxxxxxx
Subject: [upki-fed:00592] Re: attribute-resolver Mapped Attribute Definition
について

みなさま
西村です。

この度は、eduPersonEntitlementの学認推奨設定の不備(複数値の考慮不
足)によりご迷惑をおかけしております。

学認推奨(学認ウェブサイトで案内する設定)を決めなければならない
のでみなさまにご意見をうかがいたいと思っているところ、なかなか実行
できず申し訳ありません。
基本的な線では、resolverとfilterの分離性の利点から、後者、すなわち
- 複数Dependencyを書いてフィルタで必要なものを出す
で行きたいと思っています。

特に実際に使っている方に、ご意見をお寄せいただけましたら幸いです。


> <DefaultValue>urn:mace:dir:entitlement:common-lib-terms</DefaultValue>

複数Dependencyを書いている場合は、DefaultValueの指定は不要になります。

(2012/12/26 9:43), Takashi MASUDA wrote:
> 宮崎大学 松澤様
>
> 愛媛大学総合情報メディアセンターの増田です。
>
> 私も同じところでつまずいていました。
> 以下に整理してみたので参考にしていただければと思います。
>
> ◆attribute-resolver.xml
> ポイントとしてはDependencyはmappedAffiliationとmappedAffiliationの2つを記
述
> すること、
> Static Connectorを残しておくことです。
>
> <!-- Attribute Definition for eduPersonEntitlement -->
> <resolver:AttributeDefinition xsi:type="ad:Simple"
id="eduPersonEntitlement"
> xmlns="urn:mace:shibboleth:2.0:resolver:ad"
> sourceAttributeID="eduPersonEntitlement">
>          <resolver:Dependency ref="staticEntitlement" />
>          <resolver:Dependency ref="mappedAffiliation" />
>          <resolver:AttributeEncoder xsi:type="enc:SAML1String"
> name="urn:mace:dir:attribute-def:eduPersonEntitlement" />
>          <resolver:AttributeEncoder xsi:type="enc:SAML2String"
name="urn:oid:
> 1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" />
> </resolver:AttributeDefinition>
>
> <!-- Mapped Affiliation for Entitlement -->
> <resolver:AttributeDefinition id="mappedAffiliation" xsi:type="Mapped"
>       xmlns ="urn:mace:shibboleth:2.0:resolver:ad"
sourceAttributeID="uid">
>          <resolver:Dependency ref="myLDAP" />
>          <!-- if the name is not in the expected format, just return
> it as-is
> -->
>
> <DefaultValue>urn:mace:dir:entitlement:common-lib-terms</DefaultValue>
>          <ValueMap>
>
> <ReturnValue>urn:mace:nii.ac.jp:moodle:course-admin</ReturnValue>
>                  <SourceValue>ID1</SourceValue>
>                  <SourceValue>ID2</SourceValue>
>                  <SourceValue>ID3</SourceValue>
>          </ValueMap>
> </resolver:AttributeDefinition>
>
> <!-- Static Connector for Entitlement --> <resolver:DataConnector
> id="staticEntitlement" xsi:type="Static" xmlns="urn:
> mace:shibboleth:2.0:resolver:dc">
>          <Attribute id="eduPersonEntitlement">
>                  <Value>urn:mace:dir:entitlement:common-lib-terms</Value>
>          </Attribute>
> </resolver:DataConnector>
>
>
> ◆attribute-filter.xml
> SP毎に送りたい値によってeduPersonEntitlementのフィルタリング設定を記述しま
> す。
>
> ・Elsevier等urn:mace:dir:entitlement:common-lib-termsのみを送りたい場合。
> <AttributeRule attributeID="eduPersonEntitlement">
> 	<PermitValueRule xsi:type="basic:AttributeValueString"
> value="urn:mace:dir:entitlement:common-lib-terms" /> </AttributeRule>
>
> ・Moodle講習サイトβ等urn:mace:nii.ac.jp:moodle:course-admin のみを送りた
い
> 場合。
> <AttributeRule attributeID="eduPersonEntitlement">
>      <PermitValueRule xsi:type="basic:AttributeValueString"
> value="urn:mace:nii.ac.jp:moodle:course-admin" /> </AttributeRule>
>
> . attrviewer20等でeduPersonEntitlementをフィルタせずに全て表示したい場合。
> <AttributeRule attributeID="eduPersonEntitlement">
>      <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule>
>
> --
> _/_/_/_/_/_/_/_/_/_/_/_/_/_/
>    愛媛大学 研究支援部 
>   総合情報メディアセンター 事務課 
>          情報基盤チーム 技術員
>              増田 隆司
>     tel : 089-927-8975(内線:8975)
>     mail: xxxxx@xxxxxxxxxxxxx
> _/_/_/_/_/_/_/_/_/_/_/_/_/_/
>
> -----Original Message-----
> From: xxxxxxxx@xxxxxxxxxxxxxxxxxxx
> [mailto:xxxxxxxx@xxxxxxxxxxxxxxxxxxx]
> Sent: Wednesday, December 26, 2012 9:10 AM
> To: xxxxxxxx@xxxxxxxxx
> Subject: [upki-fed:00588] attribute-resolver Mapped Attribute
> Definitionにつ
> いて
>
> 宮崎大学 情報基盤センター 松澤です。
>
> いつもお世話になっております。
>
> "eduPersonEntitlement"の値の設定についてお尋ねします。
>
> moodle利用のため
> https://security-learning.nii.ac.jp/mdl/mod/page/view.php?id=118
> を参考にしてattribute-resolver.xmlを設定しています。この場合、
<SourceValue>
> にuidを登録した
> ユーザは常に"urn:mace:nii.ac.jp:moodle:course-admin"の値が送信されるようで
> す。
>
> Elsevierでは、"eduPersonEntitlemen"の値に、
> "urn:mace:dir:entitlement:common-lib-terms"を
> 要求しています。そのため、<SourceValue>に登録されているuidを持つユーザはロ
グ
> インできません。
> ためしに、attribute-filter.xmlで
> <AttributeRule attributeID="eduPersonEntitlement">
>              <PermitValueRule xsi:type="basic:AttributeValueString"
> value="urn:mace:dir:entitlement:common-lib-terms" /> </AttributeRule>
> と設定してみましたが、やはり<SourceValue>に登録されているuidを持つユーザは
> "urn:mace:nii.ac.jp:moodle:course-admin"が
> 送信されます。
>
> どなたか、SPごとにMapped Attributeの値を変える方法をご存知ではないでしょう
> か?

--
西村健
国立情報学研究所 TEL:03-4212-2890