[upki-fed:01053] 学認メタデータに登場しないIdPとは？

[Kouji Nishimura <xxxxx@xxxxxxxxxxxxxxxxx>]

	学認情報交換MLの皆様、
	いつもお世話になっております。
	広島大学の西村です。

	学認メタデータについて教えてください。

	本学では来学者へのサービスのひとつとして、ネットワーク認証時に学
	認で認証できるようにしております。

	そのため、各学認組織のIdPへは認証前でもアクセスできるよう認証前
	フィルタに登録しています。この登録を自働化するため、学認メタデー
	タからIdPのentityIDを抽出し、IPアドレスに変換してフィルタに設定
	するスクリプトを走らせています。

	ここから具体的な組織名が出ることをお許しください。

	先日、北海道大学のIdPで認証しようとした利用者が正常に認証できな
	いと連絡がありました。確認すると学認メタデータに登場する
	shib-idp01.iic.hokudai.ac.jp(133.50.12.146)は認証前フィルタに登
	録していたのですが、そこからリダイレクトされていると思われる
	enereiso60.oicte.hokudai.ac.jp(133.50.12.145)は学認メタデータに
	登場していないので、認証前フィルタに入っていませんでした。

	後者を認証前フィルタに登録することで認証はできるようになりました
	が、ここで疑問が沸きました。

	1. 学認メタデータに登場しないIdPでも連携できているのはなぜ？
	   信頼を中継しているような感じかと思いますが、それはメタデータ
	   に明示しない状態でどこまで(1段まで？多段でも？)許される(信じ
	   て良い)ものでしょうか？

	2. 学認メタデータに登場しない、このようなIdPに認証前フィルタの許
	   可を与えるには何をどのように参照すると良いでしょうか？

	すみません。良い悪いということではなくて、あくまでも技術的興味と
	運用上の問題解決のための質問ということで、ご理解いただければと思
	います。

	よろしくお願いいたします。


-- 
西村 浩二 <xxxxx@xxxxxxxxxxxxxxxxx>  DoCoMo: 090-3375-0359
広島大学 情報メディア教育研究センター Phone: 082-424-6262, 6252(事務室)
〒739-8511 東広島市鏡山 1-4-2           Fax: 082-422-7043