国立情報学研究所 片岡先生 ご返事ありがとうございます。山形大学の伊藤です。 > >targetedIDについては、ADのPricipalNameを変換(ハッシュなど)するこ > とにし、かつ > >,Javaなどのライブラリーを使うと、仕様が変更されると面倒なので、 > Shibbolethの > >ComputedIDを使うことにしました。 > > たぶん既に調査されていることと思いますが、Shib2.xのComputedIDの > 設定では一見、全てのSPに同じ値を送信するように見えるのですが、実際 > にはちゃんとSP毎に異なる値を生成していますよね。 こちらは、upki-test-sp00とci.at.nii.ac.jpのサイトで確認し、 異なる値を生成していることを確認しています。 https://upkishib1.yz.yamagata-u.ac.jp/idp/shibboleth!https://upki-test-sp00. nii.ac.jp/shibboleth-sp!PnsXpEWWPWyNMcViNnacxuc0g1w= https://upkishib1.yz.yamagata-u.ac.jp/idp/shibboleth!https://shib2.at.nii.ac .jp/shibboleth-sp!BsC2eFRC1fHUfK35ynUjMMufg5o= > Attribute-Resolver.xmlの標準設定方法を提示することも検討していま > すが、上記の通り正しく値を生成していることがわかったので、伊藤さん > と同様にComputedIDを利用しようと考えています。 現状について了解しました。仕様の最終決定をお待ちしています。 > (1)name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" の場合; > (IdPのEntityID)!(SPのEntityID)!値 > (2)name="urn:mace:dir:attribute-def:eduPersonTargetedID"の場合; > 値@スコープ > > となっており、どちらのフォーマットを利用するかは、 > Shib2.x SPとの連携:(1) > Shib1.3 SPとの連携:(1)、または、(2) > となっていますよね。 > > なので、Shib2.x SPとの連携時には、伊藤さんが採用されている(1)を > 利用することになると思っています。 > 問題は、Shib1.3 SPとの連携時で、これは当初(2)を利用していたが、 > SAML2.0仕様で定めるPersistent Identifierのフォーマットをそのまま > TargetedIDとして利用しようということで(2)から(1)に変更してきたよう > です。そのため、これは各海外SPの対応状況をヒアリングして(1)だけで > 良いか、(1)と(2)の両方が必要なのか決めていく必要があるかと考えて > います。 なるほど、過去にこんな経緯があったのですね。 現状がわかりましたので、ヒアリングの結果をお待ちしております。 いろいろと教えていただきありがとうございます。
Attachment:
smime.p7s
Description: S/MIME cryptographic signature