|
諸根 様 広島経済大学 長原です。 ご丁寧に回答いただきまして、ありがとうございます。 >ePPN 属性は 「[各IdPで一意な,かつ,永続的な識別子]@[Scope]
」形式である必要があるため、IdP から送出された値 xxxxxx@xxxxxxxxxxxxxx が
メタデータの Scope 値(
hue.ac.jp )と一致していないために警告がでているものかと存じます。推測になるのですが、IdP
側で定義する値が mail 属性のようなものを指定して ePPN
属性を生成しているのではないでしょうか。attribute-resolver.xml 抜粋例( Shibboleth IdP 4.1.0 ) 本学では、ADのUPN(=xxxxxx@xxxxxxxxxxxxxx)をユーザーIDとして利用しているため、SP側のシステムでもePPNをそのままユーザーIDとして利用できないかと思い、学認のePPNにUPNを設定しておりました。 ---- attribute-resolver.xml ----- <AttributeDefinition xsi:type="Prescoped" id="eduPersonPrincipalName"> <InputDataConnector ref="myLDAP" attributeNames="userPrincipalName" /> </AttributeDefinition> ---- attribute-resolver.xml ----- >例えばですがここで uid の一意性が保証されていない場合には別の属性を指定する必要があります。 >下記は <cn>@<scope> という形式にしています。 つまり、 ・1つのIdpで複数の<scope>は管理できない。 ・サブドメインも含めて1つのIdpで認証するのであれば、ePPNをxxxxxxxxxxx@xxxxxxxxxのように一意になるよう設定する。 ・本学のIDをSPに渡したいときは、別の属性で受け渡す。 ということですね。 ありがとうございました。 ____________________________________________________________ 広島経済大学 情報センター 長原 泰彦 TEL:082-871-1663 内線 353 E-mail:xxxxxxx@xxxxxxxxx From: Morone, Kentaro <xxxxxxxx@xxxxxxxx>
長原 様 諸根と申します。 GakuNin テストフェデレーション メタデータを確認しますと、Scope
が hue.ac.jp
で定義されております。 <Extensions> ePPN 属性は 「[各IdPで一意な,かつ,永続的な識別子]@[Scope]
」形式である必要があるため、IdP から送出された値 xxxxxx@xxxxxxxxxxxxxx が
メタデータの Scope 値(
hue.ac.jp )と一致していないために警告がでているものかと存じます。推測になるのですが、IdP
側で定義する値が mail 属性のようなものを指定して ePPN
属性を生成しているのではないでしょうか。attribute-resolver.xml 抜粋例( Shibboleth IdP 4.1.0 )
<AttributeDefinition xsi:type="Simple" id="eduPersonPrincipalName">
下記の場合、uid の一意性と永続性は組織で保証されているものとなります。
<AttributeDefinition xsi:type="Scoped" id="eduPersonPrincipalName" scope="%{idp.scope}"> 例えばですがここで uid の一意性が保証されていない場合には別の属性を指定する必要があります。 下記は <cn>@<scope> という形式にしています。 ---snip--- Scope: hue.ac.jp ユーザA: uid: user01 cn: someone-a mail: xxxxxx@xxxxxxxxx ePPN:
xxxxxxxxx@xxxxxxxxx
uid: user01 cn: someone-b mail: xxxxxx@xxxxxxxxxxxxx ePPN:
xxxxxxxxx@xxxxxxxxx ---snip--- eduPersonPrincipalName ( [各IdPで一意な,かつ,永続的な識別子]@[Scope] ) ご参考になれば幸いです。
Morone, Kentaro |