[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00826] Re: cybozu.com が学認に対応しました



西村です。

この情報交換MLでも以前話題が出たかと思いますが、ShibbolethでないSP
実装とどのように連携させられるかは、SP側だけでなくIdP側としても今後
重要になってくると思いますので、みなさまもお持ちの情報がありましたら
お寄せください。

元メールで触れられていない部分について、
少し背景から補足いたしますと、cybozu.comでは利用機関毎にサブドメイン
を割り当てる方式となっており、それぞれが固有のSP entityIDを持っていま
す。

つまり個々のSPはIdPと1対1で連携する形となり、いわゆるSPとしての学認
参加の形態をとっておりません。
このため手順書にはメタデータ交換の手順も記載されています。
この辺を含めて正確に表現するなら、「学認に参加している機関(IdP)が
cybozu.comを利用する場合、この手順に沿って設定すれば既存IdPを使って認
証できます」、ということになります。

この辺がややこしいのは理解しているつもりで、IdP側としてはメタデータ交
換のようなSPとIdPの橋渡し的なところは学認がやってくれることを期待され
ているのではないかと考えます。
今後このようなサービス形態が一般化してくるのだとすれば、学認としての
対応も再考すべきところかもしれません。

また、このような形態でSPメタデータを一本化する(つまり学認に参加でき
る)方法について検討しておりますので、まとまりましたらお知らせしたい
と思います。
# ただ残念なことに、cybozu.comでも一本化を検討していただいたのです
# が、SP実装の制約により適用できませんでした。


(2014/05/22 19:07), Koji Asaga wrote:
> 学認情報交換MLの皆様
> 
> サイボウズの浅賀です。
> いつもお世話になっております。
> 
> この度、弊社クラウドサービス「cybozu.com」と学認の連携について
> 動作確認が取れましたので、ホワイトペーパーをリリースさせて頂きました。
> 学認の技術ガイドに沿って構築した IdP との連携手順をまとめています。
> 
>  学認(Shibboleth)と cybozu.com をSAML認証する
>  https://developers.cybozu.com/ja/tutorial/whitepaper.html
> 
> 弊社サービスの仕様により、暗号化したアサーションを受け付けなかったり、
> NameID で個人を特定している事から、技術ガイド通りでは連携できない部分が
> ありました。
> 
> ホワイトペーパーにも記載しておりますが、それらは NII 様にて GakuNinShare に
> まとめて頂いておりますので、他ベンダー様でも活用頂ける場合があるのではと思い、
> 今回シェアさせて頂きました。
> 
> ■特定のSPへのアサーションを暗号化しない設定
> https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=10226458#id-設定・運用・カスタマイズ-特定のSPへのアサーションを暗号化しない設定
> 
> ■特定のSPに対しePPNをNameIDに入れて送る設定方法
> https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=10226458#id-設定・運用・カスタマイズ-特定のSPに対しePPNをNameIDに入れて送る設定方法
> 
> 
> 宜しくお願いします。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890