[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00583] Re: 【学認】新規 SPのご紹介〔学認連携Moodle 講習サイトβ〕
- Subject: [upki-fed:00583] Re: 【学認】新規 SPのご紹介〔学認連携Moodle 講習サイトβ〕
- Date: Fri, 21 Dec 2012 10:29:27 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。
> ValueMapのReturnValueにurn:mace:nii.ac.jp:moodle:course-adminとurn:mace:dir:
> entitlement:common-lib-termsを
> 併記するべきかとも思い、以下のようにカンマ区切りで記載してみましたが事象が変
> わりませんでした。
> 初歩的なことかもしれませんが、併記の記載方法は以下で合っておりますでしょう
> か。
カンマやセミコロンで区切るというのはSP側で文字列として表現するための苦肉の策です
ので、IdP側はちゃんと別々の値として生成しなければなりません。
# カンマも含めて1つの属性値として生成されてしまいます。
ReturnValueを複数の値にするには、ReturnValueを並べて書くことはできないようなので、
面倒ですが、ValueMapをコピペして2つ並べるしかないようです。
> 事象をattrviewer20.gakunin.nii.ac.jpで確認すると、SourceValueに記述したIDで
> ログインしたときのみ
> eduPersonEntitlementがNULLとなってしまいます。
先に示しましたようにDependencyを2つ並べていますか?
attrviewer20に対するフィルタをbasic:ANYでPermitするようにしたらどうなりますか?
(2012/12/21 10:03), Takashi MASUDA wrote:
> 西村先生
>
> 愛媛大学総合情報メディアセンターの増田です。
>
> すみません、以下の記述を見逃しておりました。
>> このほか、Elsevier等にcommon-lib-termsのみを通す設定をいれなければなりませ
> ん
>> が、省略します。
>
> ところが、ご教示頂いたとおり設定していろいろ試しておりますがうまくいきませ
> ん。
> 事象をattrviewer20.gakunin.nii.ac.jpで確認すると、SourceValueに記述したIDで
> ログインしたときのみ
> eduPersonEntitlementがNULLとなってしまいます。
>
> ValueMapのReturnValueにurn:mace:nii.ac.jp:moodle:course-adminとurn:mace:dir:
> entitlement:common-lib-termsを
> 併記するべきかとも思い、以下のようにカンマ区切りで記載してみましたが事象が変
> わりませんでした。
> 初歩的なことかもしれませんが、併記の記載方法は以下で合っておりますでしょう
> か。
>
>
> <ReturnValue>urn:mace:nii.ac.jp:moodle:course-admin,urn:mace:dir:entitlement
> :common-lib-terms </ReturnValue>
>
> 以上、よろしくお願い致します。
>
> --
> _/_/_/_/_/_/_/_/_/_/_/_/_/_/
> 愛媛大学 研究支援部
> 総合情報メディアセンター 事務課
> 情報基盤チーム 技術員
> 増田 隆司
> tel : 089-927-8975(内線:8975)
> mail: xxxxx@xxxxxxxxxxxxx
> _/_/_/_/_/_/_/_/_/_/_/_/_/_/
>
>
> -----Original Message-----
> From: xxxxxxx@xxxxxxxxx [mailto:xxxxxxx@xxxxxxxxx]
> Sent: Thursday, December 20, 2012 2:30 PM
> To: xxxxx@xxxxxxxxxxxxx
> Cc: xxxxxxxx@xxxxxxxxx
> Subject: [upki-fed:00579] Re: 【学認】新規 SPのご紹介〔学認連携Moodle 講習サ
> イトβ〕
>
> 増田様
> 西村です。
>
>> そもそもの話として、Moodleに管理者としてログイン可能とすると、
>> 新規コース作成などが自由にできてしまうので、
>> 運用上の問題が発生してしまうのではないかと懸念しております。
>
> こちらは私には判断がつかないのですが、上田先生いかがでしょうか?
>
>> うまく動作しないケースがありますのでご教示頂ければと思います。
>
> すみません。私の先の記述が不足しておりました。
> 先の記述のままだと、Scopus等には両方の属性値が渡ることになります。SP側で複数
> の
> 値を想定していない場合には問題が発生しますし、そうでない場合でも
> 余計な情報が渡ることになるため好ましくありません。
>
> Moodle講習サイトβ以外のSPに対して従来通りの動作に戻すには、
> attribute-filter.xmlの
> <afp:AttributeRule attributeID="eduPersonEntitlement">
> <afp:PermitValueRule xsi:type="basic:ANY" />
> </afp:AttributeRule>
> となっている部分を全て
> <afp:AttributeRule attributeID="eduPersonEntitlement">
> <afp:PermitValueRule xsi:type="basic:AttributeValueString"
> value="urn:mace:dir:entitlement:common-lib-terms" />
> </afp:AttributeRule>
> で置き換えてください。
>
> (2012/12/20 9:41), Takashi MASUDA wrote:
>> 西村先生
>>
>> いつもお世話になっております。
>> 愛媛大学IdP運用担当者の増田です。
>>
>> 愛媛大学のIdPでも学認連携Moodle 講習サイトβを利用できるよう設定を試みてお
> り
>> ますが
>> うまく動作しないケースがありますのでご教示頂ければと思います。
>>
>> Moodle 講習サイトβのIdP設定方法のページと当MLの情報を参照して設定したとこ
>> ろ、
>> Moodle講習サイトβについては、想定通りに通常ユーザーと管理者を区別してログ
> イ
>> ンできるようになりました。
>> しかしながら、Elsevier SCOPUSなど、eduPersonEntitlementに
>> urn:mace:dir:entitlement:common-lib-termsを要するSPに
>> ログインする際に、通常ユーザは正常にログインできますが、
>> urn:mace:nii.ac.jp:moodle:course-adminを設定した
>> 管理者ユーザについてSP側でエラーとなりログインできません。
>>
>> そもそもの話として、Moodleに管理者としてログイン可能とすると、
>> 新規コース作成などが自由にできてしまうので、
>> 運用上の問題が発生してしまうのではないかと懸念しております。
>>
>> 以上、よろしくお願い致します。
>>
>> --
>> _/_/_/_/_/_/_/_/_/_/_/_/_/_/
>> 愛媛大学 研究支援部
>> 総合情報メディアセンター 事務課
>> 情報基盤チーム 技術員
>> 増田 隆司
>> tel : 089-927-8975(内線:8975)
>> mail: xxxxx@xxxxxxxxxxxxx
>> _/_/_/_/_/_/_/_/_/_/_/_/_/_/
>>
>>
>> -----Original Message-----
>> From: xxxxxxx@xxxxxxxxx [mailto:xxxxxxx@xxxxxxxxx]
>> Sent: Thursday, December 06, 2012 5:29 AM
>> To: xxxxxxxx@xxxxxxxxx
>> Subject: [upki-fed:00549] Re: 【学認】新規 SPのご紹介〔学認連携Moodle 講習
> サ
>> イトβ〕
>>
>> 西村です。
>>
>> すみません。動作検証に時間がかかり反応が遅れました。
>> eduPersonEntitlementは他の属性と違ってSP毎に送る値が異なるので学認推奨
>> 設定のようなものをちゃんと定めないといけないですね。
>> 以下に2つの方法を記しましたが、どちらが好みでしょうか? > みなさま
>>
>> まず、以前の情報では以下に記載があります。
>> [upki-fed:00445] Re: SPに応じて送出する属性値を変換可能?
>> https://www.gakunin.jp/ml-archives/upki-fed/msg00433.html
>> 上記では、attribute-resolve.xmlのid="eduPersonEntitlement"の
>> いる部分を変更して複数用意し、attribute-filter.xmlでSP毎に
>> それぞれを指定して送る内容を変更していました。
>>
>> このメールではもう一つ別の方法を記します。
>>
>> Dependencyを複数書くことができるので、staticEntitlementとmappedAffiliation
>> の両方をDependencyに書きます。
>> 加えて、そのままだとcommon-lib-termsとcourse-adminの両方が
>> security-learningと電子ジャーナルサイトに流れることになるので、
>> 必要なものだけを通すように変更します。
>> <afp:PermitValueRule xsi:type="basic:AttributeValueString"
>> value="urn:mace:nii.ac.jp:moodle:course-admin" /> # urn:mace:の値が登録さ
> れ
>> たものではないようなのですが気にしないことにします
>> このほか、Elsevier等にcommon-lib-termsのみを通す設定をいれなければなりませ
> ん
>> が、省略します。
>>
>> 最後に、上記をまとめたものを示します。
>> attribute-resolver.xml:
>> ...
>> <resolver:AttributeDefinition xsi:type="ad:Simple"
>> id="eduPersonEntitlement" sourceAttributeID="eduPersonEntitlement">
>> <resolver:Dependency ref="staticEntitlement" />
>> <resolver:Dependency
>> ref="mappedEntitlementForSecurityLearningNiiAcJp" /> <-- 追加
>> <resolver:AttributeEncoder xsi:type="enc:SAML1String"
>> name="urn:mace:dir:attribute-def:eduPersonEntitlement" />
>> <resolver:AttributeEncoder xsi:type="enc:SAML2String"
>> name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7"
> friendlyName="eduPersonEntitlement"
>> />
>> </resolver:AttributeDefinition>
>> ...
>> <resolver:AttributeDefinition
>> id="mappedEntitlementForSecurityLearningNiiAcJp" xsi:type="Mapped"
>> xmlns ="urn:mace:shibboleth:2.0:resolver:ad"
> sourceAttributeID="uid">
>> <resolver:Dependency ref="myLDAP" />
>>
>> <!-- if the name is not in the expected format, just return it
> as-is
>> -->
>> <DefaultValue></DefaultValue>
>>
>> <ValueMap>
>>
> <ReturnValue>urn:mace:nii.ac.jp:moodle:course-admin</ReturnValue>
>> <SourceValue>ID1</SourceValue>
>> <SourceValue>ID2</SourceValue>
>> <SourceValue>ID3</SourceValue>
>> </ValueMap>
>>
>> </resolver:AttributeDefinition>
>> ...
>>
>> attribute-filter.xml:
>> ...
>> <!-- security-learning.nii.ac.jp -->
>> <afp:AttributeFilterPolicy
>> id="releaseAttributesToSecurityLearningNiiAcJp">
>> <afp:PolicyRequirementRule
>> xsi:type="basic:AttributeRequesterString"
>> value="https://security-learning.nii.ac.jp/shibboleth-sp" />
>> <afp:AttributeRule attributeID="organizationName">
>> <afp:PermitValueRule xsi:type="basic:ANY" />
>> </afp:AttributeRule>
>> <afp:AttributeRule attributeID="eduPersonTargetedID">
>> <afp:PermitValueRule xsi:type="basic:ANY" />
>> </afp:AttributeRule>
>> <afp:AttributeRule attributeID="eduPersonEntitlement">
>> <afp:PermitValueRule xsi:type="basic:AttributeValueString"
>> value="urn:mace:nii.ac.jp:moodle:course-admin" />
>> </afp:AttributeRule>
>> </afp:AttributeFilterPolicy>
>> ...
>>
>>
>> On 2012/12/04, at 16:08, matuzawa wrote:
>>
>>> 上田先生
>>> 五十嵐先生
>>>
>>> 宮崎大学 松澤です。
>>>
>>> お二人とも、早速のフォロー有難うございました。
>>> おかげさまで学認連携Moodle講習サイトβにログインできるようになりました。
>>> 有難うございました。
>>> moodleは使ったことが無いので、いまいち使い方が分かりません。
>>> 一度、勉強しなおして利用したいと思います。
>>>
>>> 〒889-2192 宮崎市学園木花台西1丁目1番地
>>> 宮崎大学 情報基盤センター
>>> 松澤 英之
>>> TEL 0985-58-7817 FAX 0985-58-2810
>>> xxxxxxxx@xxxxxxxxxxxxxxxxxxx
>>> ----- Original Message -----
>>>>> From: Hiroshi UEDA <xxx@xxxxxxxxxxxxxxxxxxx>
>>>>> To: xxxxxxxx@xxxxxxxxx
>>>>> Date: 2012-12-04 15:31:34
>>>>> Subject: [upki-fed:00546] Re: 【学認】新規SPのご紹介〔学認連携Moodle 講
>> 習サイトβ〕
>>>>>
>>>>> 上田です。
>>>>>
>>>>> 五十嵐様フォローありがとうございます。学認連携Moodle講習サイトβにも掲
> 載
>>>>> しました。
>>>>> https://security-learning.nii.ac.jp/mdl/mod/page/view.php?id=118
>>>>> 松澤先生、よろしくご利用ください。
>>>>>
>>>>> (2012/12/04 15:12), Kaz IGARASHI wrote:
>>>>>> 松澤様
>>>>>>
>>>>>> お世話になっております.成城大学五十嵐と申します.
>>>>>>
>>>>>> eduPersonEntitlement を mappedAffiliation に変更し,static に設定して
> い
>> た値を
>>>>>> mappedAffiliation
>>>>>> 内の DefaultValue とすることで対応できるかと思います.
>>>>>>
>>>>>> 取り急ぎ
>>>>>>
>>>>>> ----- Original Message -----
>>>>>>>> From: matuzawa <xxxxxxxx@xxxxxxxxxxxxxxxxxxx>
>>>>>>>> To: xxxxxxxx@xxxxxxxxx
>>>>>>>> Date: 2012-12-04 11:44:19
>>>>>>>> Subject: [upki-fed:00544] Re: 【学認】新規SPのご紹介〔学認連携Moodle
>> 講習サイトβ〕
>>>>>>>>
>>>>>>>> 上田先生
>>>>>>>>
>>>>>>>> 宮崎大学 松澤です。
>>>>>>>>
>>>>>>>> 「学認連携 Moodle 講習サイトβ」の設定を行ってみました。
>>>>>>>> Moodle 講習サイトβのIdPの設定において
>>>>>>>>
>>>>>>>> attribute-resolver.xml に以下の様に"eduPersonEntitlement"を追加する
> よ
>> うに書かれております。
>>>>>>>> <resolver:AttributeDefinition xsi:type="ad:Simple"
>> id="eduPersonEntitlement" sourceAttributeID="eduPersonEntitlement">
>>>>>>>> <resolver:Dependency ref="mappedAffiliation" />
>>>>>>>> ^^^^^^^^^^^^^^^^^^^
>>>>>>>> 一方、学認の属性リストには、
>>>>>>>> <resolver:AttributeDefinition id="eduPersonEntitlement"
>> xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad"
>>>>>>>> sourceAttributeID="eduPersonEntitlement">
>>>>>>>> <resolver:Dependency ref="staticEntitlement" />
>>>>>>>> ^^^^^^^^^^^^^^^^^
>>>>>>>> とDependency ref="staticEntitlement"となっています。
>>>>>>>>
>>>>>>>> ためしに、両方の設定をattribute-resolver.xmlに記述したら、エラーが出
>> ました。
>>>>>>>> 従来の"eduPersonEntitlement"の設定と矛盾無くMoodle 講習サイトβの設
> 定
>> を行うことは可能なのでしょうか?
>>>>>>>> 或は、Moodle 講習サイトβの設定だけでよいのでしょうか?
>>>>>>>>
>>>>>>>> よろしくお願いします。
>>>>>>>>
>>>>>>>> 〒889-2192 宮崎市学園木花台西1丁目1番地
>>>>>>>> 宮崎大学 情報基盤センター
>>>>>>>> 松澤 英之
>>>>>>>> TEL 0985-58-7817 FAX 0985-58-2810
>>>>>>>> xxxxxxxx@xxxxxxxxxxxxxxxxxxx
>>>>>>>>
>>>>>>>> ----- Original Message -----
>>>>>>>>>> From: Hiroshi UEDA <xxx@xxxxxxxxxxxxxxxxxxx>
>>>>>>>>>> To: xxxxxxxx@xxxxxxxxx
>>>>>>>>>> Date: 2012-11-30 16:10:11
>>>>>>>>>> Subject: [upki-fed:00543] 【学認】新規SPのご紹介〔学認連携Moodle
> 講
>> 習サイトβ〕
>>>>>>>>>>
>>>>>>>>>> 皆様
>>>>>>>>>>
>>>>>>>>>> 京都大学の上田です。
>>>>>>>>>>
>>>>>>>>>> [upki-fed:00533] の「Moodle × 学認 = みんなで使える情報セキュリ
>> ティ教
>>>>>>>>>> 育」でご紹介した、「学認連携 Moodle 講習サイトβ」運用開始のお知ら
>> せです。
>>>>>>>>>>
>>>>>>>>>> https://security-learning.nii.ac.jp/
>>>>>>>>>>
>>>>>>>>>> 本サイトは国立情報学研究所 高等教育機関における情報セキュリティポ
>> リシー
>>>>>>>>>> 推進部会の活動の一環で、情報セキュリティ教育のための共通コンテンツ
>> とその
>>>>>>>>>> 受講履歴の提供が可能です。利用のためには各機関での IdP 設定が必要
> と
>> なり
>>>>>>>>>> ます。設定を以下にまとめてありますのでご参照ください。
>>>>>>>>>>
>>>>>>>>>> https://security-learning.nii.ac.jp/mdl/mod/page/view.php?id=11
>>>>>>>>>> 8
>
> --
> 西村健
> 国立情報学研究所 TEL:03-4212-2890
>
--
西村健
国立情報学研究所 TEL:03-4212-2890