長原 様
諸根と申します。
GakuNin テストフェデレーション メタデータを確認しますと、Scope が
hue.ac.jp で定義されております。
<Extensions>
<shibmd:Scope regexp="false">
hue.ac.jp</shibmd:Scope>
</Extensions>
---
ePPN 属性は 「[各IdPで一意な,かつ,永続的な識別子]@[Scope] 」形式である必要があるため、IdP から送出された値
xxxxxx@xxxxxxxxxxxxxx が メタデータの Scope 値(
hue.ac.jp )と一致していないために警告がでているものかと存じます。推測になるのですが、IdP 側で定義する値が mail 属性のようなものを指定して ePPN 属性を生成しているのではないでしょうか。attribute-resolver.xml 抜粋例( Shibboleth IdP 4.1.0 )
---snip---
<AttributeDefinition xsi:type="Simple" id="eduPersonPrincipalName">
<InputDataConnector ref="myLDAP" attributeNames="mail" />
</AttributeDefinition>
---snip---
一般的には下記のような形で 「type="Scoped"」、「scope="%{idp.scope}」を利用し idp.properties の値で ePPN 属性を定義します。
下記の場合、uid の一意性と永続性は組織で保証されているものとなります。
---snip---
<AttributeDefinition xsi:type="Scoped" id="eduPersonPrincipalName" scope="%{idp.scope}">
<InputDataConnector ref="myLDAP" attributeNames="uid" />
</AttributeDefinition>
---snip---
例えばですがここで uid の一意性が保証されていない場合には別の属性を指定する必要があります。
下記は <cn>@<scope> という形式にしています。
---snip---
ユーザA:
uid: user01
cn: someone-a
ユーザB:
uid: user01
cn: someone-b
---snip---
eduPersonPrincipalName ( [各IdPで一意な,かつ,永続的な識別子]@[Scope] )
ご参考になれば幸いです。
Morone, Kentaro
SIOS Technology, Inc.