[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00649] 複数のId体系のの扱い方
- Subject: [upki-fed:00649] 複数のId体系のの扱い方
- Date: Wed, 19 Jun 2013 15:11:53 +0900
- From: Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx>
慶應義塾ITC本部の細川です。
現在、テストフェデレーションで色々実験しているのですが、質問がありますの
でよろしくお願いします(もしかしたら学認に直接関係がない質問と言えるかも
しれませんが…)。
仮に学内に、大きく対象は異ならないものの、IDの体系自体は異なる2つのアカ
ウントがあったとします(片方は単なる英数文字列、もう片方は「@」の入った
文字列です)。
自然に考えれば2つのIdPに分けるというのが良いかと思うのですが、もし仮に1
つのIdPで扱うとした場合、次のような認識で良いでしょうか?
・ ePPNはフェデレーション内で一意のため、同じ人物に割り当てられたもので
あっても異なった文字列とする必要が合ある。「@」が入ったアカウントは、何
らかの文字列に置き換えるか、base64エンコードするなりしてePPNを生成する
・残りのデータは共有する
このように扱うことで、同居することは可能かと思うのですが、問題は実際に外
部のSP(特に商用のもの)を利用する段階になって、
・ IdP上のエントリ数がほぼ2倍になるため、費用がより高額になったりする
サービスは現状としてどのくらいあるのか?
という点が気になっています。これはIdPを2つ立てるという解決を行った場合で
も、問題になりうると考えており、そもそも2つのID体系をサポートする意味が
あるのか、ということに悩んでいます。
…ということで、もし仮に、
・実体が同じものを指すのだから、エントリ上は2つのエントリだが、ePPNは同
じものを作る
ということが許されるのであれば、気分的にはかなり楽なのですが、やはりこれ
は許されないことなのでしょうか。
よろしくお願いします。
--
慶應義塾ITC本部 細川達己 xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685 Fax. 03-5427-1722