[upki-fed:00649] 複数のId体系のの扱い方

[Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx>]

慶應義塾ITC本部の細川です。

現在、テストフェデレーションで色々実験しているのですが、質問がありますの
でよろしくお願いします（もしかしたら学認に直接関係がない質問と言えるかも
しれませんが…）。

仮に学内に、大きく対象は異ならないものの、IDの体系自体は異なる2つのアカ
ウントがあったとします（片方は単なる英数文字列、もう片方は「@」の入った
文字列です）。

自然に考えれば2つのIdPに分けるというのが良いかと思うのですが、もし仮に1
つのIdPで扱うとした場合、次のような認識で良いでしょうか？

・ ePPNはフェデレーション内で一意のため、同じ人物に割り当てられたもので
あっても異なった文字列とする必要が合ある。「@」が入ったアカウントは、何
らかの文字列に置き換えるか、base64エンコードするなりしてePPNを生成する

・残りのデータは共有する

このように扱うことで、同居することは可能かと思うのですが、問題は実際に外
部のSP（特に商用のもの）を利用する段階になって、

・ IdP上のエントリ数がほぼ2倍になるため、費用がより高額になったりする
サービスは現状としてどのくらいあるのか？

という点が気になっています。これはIdPを2つ立てるという解決を行った場合で
も、問題になりうると考えており、そもそも2つのID体系をサポートする意味が
あるのか、ということに悩んでいます。

…ということで、もし仮に、

・実体が同じものを指すのだから、エントリ上は2つのエントリだが、ePPNは同
じものを作る

ということが許されるのであれば、気分的にはかなり楽なのですが、やはりこれ
は許されないことなのでしょうか。

よろしくお願いします。

-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722