[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00571] Re: not-requested attributes at uApprove controller page
- Subject: [upki-fed:00571] Re: not-requested attributes at uApprove controller page
- Date: Thu, 13 Dec 2012 17:34:06 +0900
- From: TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx>
西村様
下記,うまくいきました.どうも有難うございました.
‥‥ということは,全ての SP が requestedattribute をきちんと付与してくれ
るようになれば,
https://office.gakunin.nii.ac.jp/ProdFed/export/attribute_filter/PIxxxxJP
を読み込む設定は不要にならないでしょうか? 学認申請システムからダウンロー
ドできる attribute-filter と uapprove は,どのように使い分けることが想定
されているのかイマイチ分かりません‥‥.
>> On Thu, 13 Dec 2012 16:51:17 +0900
>> xxxxxxx@xxxxxxxxx (Takeshi NISHIMURA) said as follows:
>下記ご指摘の点につきましては、PermitValueRuleにrequestedOnly属性
>を付加することにより所望の動作が得られませんでしょうか?
>https://www.gakunin.jp/docs/files/uApprove.jp-installation_ja.html#attribute-filter
>> https://meatwiki.nii.ac.jp/ のように,SP の metadata において
>> requestedattribute が宣言されている場合に問題が顕在化します.
>> 折角,SP の metadata で requestedattribute が宣言されているのですから,
>> IdP の管理者としては,attribute-filter.xml の設定を手抜きしたいので,
>>
>> <!-- Relase attributes to uApprove supported SPs -->
>> <afp:AttributeFilterPolicy id="PolicyforUApproveSPs">
>> <afp:PolicyRequirementRule xsi:type="uajpmf:AttributeUapprove" />
>> <afp:AttributeRule attributeID="transientId">
>> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>> </afp:AttributeRule>
>> (中略)
>> <afp:AttributeRule attributeID="mail">
>> <afp:PermitValueRule xsi:type="uajpmf:AttributeUapprove" />
>> </afp:AttributeRule>
>> </afp:AttributeFilterPolicy>
>>
>> というように,ユーザの判断に委ねても良い属性を全て列挙することになると思
>> います.そうすると,末尾に添付したスクリーンショットのように,ユーザの判
>> 断に委ねる属性がずらーっと列挙されてしまうことになります.
>>
>> ここでは,SP 側の metadata で requestedattribute で宣言されている属性と
>> の AND をとって,この SP でオプショナルで必要としている属性のみを列挙す
>> るように改修して頂けないでしょうか?
--
土屋 雅稔 ( TSUCHIYA Masatoshi )