[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00726] Re: IdP側でSPごとに利用制御することは可能でしょうか?
- Subject: [upki-fed:00726] Re: IdP側でSPごとに利用制御することは可能でしょうか?
- Date: Wed, 04 Dec 2013 14:43:03 +0900
- From: Hyoudou Norikazu <xxxxxxxxxxxxxx@xxxxxxxxxx>
京都府立医科大学 荻様、学認情報交換メーリングリストの皆様
初めてメールいたします。
お茶の水女子大学の兵藤と申します。
(現在、NIIにて実務研修生をしております。)
本学でも最近、学認に参加することができましたので、その際の
経験をもとに分かる範囲でメールさせていただきます。
> ■質問1
> IdPにて学内の情報(利用者がどのグループに属するか)をみながら,
> SPへの認証問い合わせの返答を変化させる(属性値を変える or 認証を失敗させる)
IdPのMapped AttributeDefinitionを用いる事で、グループ情報を利用して
属性値を変えることができるかと思います。
https://meatwiki.nii.ac.jp/confluence/x/U4Df
また、以前のMLのやり取りで、attribute-resolve.xmlにて複数の
値を用意し、attribute-filter.xmlでSP毎にどの値を送るか指定する
という話題がありました。
[upki-fed:00441〜00444]
https://www.gakunin.jp/ml-archives/upki-fed/msg00431.html
この手法で、グループACとそれ以外のSPで、送信する情報を分けることは
できるかと思います。
追加で、学認で公開しているFPSPプラグインを用いれば、より確実に
アクセス制限をかけることができそうですが、いかがでしょうか。
https://meatwiki.nii.ac.jp/confluence/x/Woa5
> ■質問2
> 実現可能だとすると,シングルサインオンとの関係はどのように
> なりますでしょうか?
サインインの情報はブラウザに保存されますが、属性の送信はSP毎に
発生しますので、
> 2−1)グループ乙所属の利用者がAでサインインした後,Bを利用
> しようとした場合,正常に利用不可(認証失敗)になりますでしょうか?
必要な属性が送られないので利用不可(SPの画面にてエラー)
> 2−2)グループ乙所属の利用者がAでサインインした後,Bを利用
> しようとして拒否され,その後AあるいはCを利用する場合
サインイン情報は保持しており、Cには属性が送られるのでサインイン
なしで利用可能
となるかと思います。
すみません、もし間違っておりましたら、皆様フォローをいただけると
助かります。
---
お茶の水女子大学
図書・情報チーム情報基盤係
兵藤 徳和 hyoudou norikazu
Tel. 03-5978-5567 FAX. 03-5978-5849
E-mail : xxxxxxxxxxxxxx@xxxxxxxxxx
(2013/12/04 10:46), Hiroshi OGI wrote::
> みなさま,初めまして.
> 京都府立医科大学の荻といいます.
> お世話になります.
>
> 本学で学認への参加(とIdP構築)を検討しており,現在情報を
> 収集しております.
>
> サービスの利用制御およびシングルサインオンとの関係について
> 不明なことがあり,どなたかご教示いただきたくメールをいたし
> ました.
>
> (より)具体的には以下のような事項です.
>
> ■背景
> サービス(外部SP)はA,B,Cの3種類.
> 学内の構成員を2グループ(甲,乙)に分け,
> ・グループ甲に属する構成員は全サービス利用可能
> ・グループ乙に属する構成員はサービスAとCのみ利用可能
> としたい.
>
> ■質問1
> IdPにて学内の情報(利用者がどのグループに属するか)をみながら,
> SPへの認証問い合わせの返答を変化させる(属性値を変える or 認証を失敗させる)
> ことで対応できるのではないかとぼんやりと想像しているのですが,実現可能
> なものでしょうか?
>
> ■質問2
> 実現可能だとすると,シングルサインオンとの関係はどのように
> なりますでしょうか?
>
> 2−1)グループ乙所属の利用者がAでサインインした後,Bを利用
> しようとした場合,正常に利用不可(認証失敗)になりますでしょうか?
> ※質問1の内容に近いものですが,AでサインインするとBもそのまま利用
> 可能になってしまうのではないかと心配しております.
>
> 2−2)グループ乙所属の利用者がAでサインインした後,Bを利用
> しようとして拒否され,その後AあるいはCを利用する場合,サインイン
> 状態になるのか,改めてサインインする必要があるかどちらでしょうか.
>
>
> 技術的な知識としては手元でIdP構築のまねごとをした程度のものであり,
> 思い違いをしている部分もあるかと思います.
> 「ここを読めば分かる」といったものでも結構ですので,どうぞよろしく
> お願いいたします.
>
> :荻寛志
> 京都府立医科大学 総合情報センター
>