[upki-fed:00651] Re: 複数のId体系のの扱い方

[Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>]

細川様
NIIの西村です。

> …ということで、もし仮に、
> 
> ・実体が同じものを指すのだから、エントリ上は2つのエントリだが、ePPNは同
> じものを作る
> 
> ということが許されるのであれば、気分的にはかなり楽なのですが、やはりこれ
> は許されないことなのでしょうか。

ePPNが同じ（全ての属性が同じ）であっても問題ないと考えます。
IdPの外から見れば、使うID/パスワードが異なるだけで、複数の認証手段
を持っているだけであるとみなせるためです。証明書認証
https://www.gakunin.jp/docs/fed/technical/idp/customize/certificate-auth
やtiqr等モバイル認証の例を持ち出すまでもなく、同一人物が複数の認証手段を
持つことは不自然ではありません。
# もちろん、逆に「同一人物なら同じePPNを送出しなければならない」とい
# うことを主張しているわけではありません。学認参加機関の中でも
# いろんな実装があると思います。

ただ、認証するIDの違いによって送出される属性が異なる場合は、SPから
見れば同じ人の属性が頻繁に変わっているように見えるため、ちょっと変な
感じがするかもしれません。

1つ気になるのは、特にeduPersonTargetedID(ePTID)を同一にしないと、利用
者に混乱を与える可能性があるというところです。
LDAPの構造が不明ですが、ePTIDのソースとしてuidでなく、両方のエントリ
で同一になる識別子を用いることができれば、ePTIDを同一にすることが可能
です。

PS
上記考察にはLoA
https://www.gakunin.jp/docs/fed/loa/loa1program
の話は入っておりません。万が一、このような実装にすることでLoA 1の取得が
難しくなる等の弊害がありましたら、ごめんなさい。

(2013/06/19 15:11), Tatsumi Hosokawa wrote:
> 慶應義塾ITC本部の細川です。
> 
> 現在、テストフェデレーションで色々実験しているのですが、質問がありますの
> でよろしくお願いします（もしかしたら学認に直接関係がない質問と言えるかも
> しれませんが…）。
> 
> 仮に学内に、大きく対象は異ならないものの、IDの体系自体は異なる2つのアカ
> ウントがあったとします（片方は単なる英数文字列、もう片方は「@」の入った
> 文字列です）。
> 
> 自然に考えれば2つのIdPに分けるというのが良いかと思うのですが、もし仮に1
> つのIdPで扱うとした場合、次のような認識で良いでしょうか？
> 
> ・ ePPNはフェデレーション内で一意のため、同じ人物に割り当てられたもので
> あっても異なった文字列とする必要が合ある。「@」が入ったアカウントは、何
> らかの文字列に置き換えるか、base64エンコードするなりしてePPNを生成する
> 
> ・残りのデータは共有する
> 
> このように扱うことで、同居することは可能かと思うのですが、問題は実際に外
> 部のSP（特に商用のもの）を利用する段階になって、
> 
> ・ IdP上のエントリ数がほぼ2倍になるため、費用がより高額になったりする
> サービスは現状としてどのくらいあるのか？
> 
> という点が気になっています。これはIdPを2つ立てるという解決を行った場合で
> も、問題になりうると考えており、そもそも2つのID体系をサポートする意味が
> あるのか、ということに悩んでいます。
> 
> …ということで、もし仮に、
> 
> ・実体が同じものを指すのだから、エントリ上は2つのエントリだが、ePPNは同
> じものを作る
> 
> ということが許されるのであれば、気分的にはかなり楽なのですが、やはりこれ
> は許されないことなのでしょうか。
> 
> よろしくお願いします。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890