[upki-fed:00654] Re: 複数のId体系のの扱い方

[Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx>]

西村様

ありがとうございます。

(2013/06/20 11:29), Takeshi NISHIMURA wrote:
> 
> ePPNが同じ（全ての属性が同じ）であっても問題ないと考えます。
> IdPの外から見れば、使うID/パスワードが異なるだけで、複数の認証手段
> を持っているだけであるとみなせるためです。証明書認証
> https://www.gakunin.jp/docs/fed/technical/idp/customize/certificate-auth
> やtiqr等モバイル認証の例を持ち出すまでもなく、同一人物が複数の認証手段を
> 持つことは不自然ではありません。

なるほど、そう言っていただけると少し心強くなります。

＃ ところで、クライアント証明書による認証などもできるのですね。

> ただ、認証するIDの違いによって送出される属性が異なる場合は、SPから
> 見れば同じ人の属性が頻繁に変わっているように見えるため、ちょっと変な
> 感じがするかもしれません。

そのとおりだと思います。

> 1つ気になるのは、特にeduPersonTargetedID(ePTID)を同一にしないと、利用
> 者に混乱を与える可能性があるというところです。
> LDAPの構造が不明ですが、ePTIDのソースとしてuidでなく、両方のエントリ
> で同一になる識別子を用いることができれば、ePTIDを同一にすることが可能
> です。

LDAPはOpenLDAPのback-sqlで裏側からSQL経由で属性を突っ込む仕組みになって
いますので、どのようにも設定可能です。基本的にはLDAPから提供される属性に
関しては、uidやuserPassword等以外はすべて同一の属性を持たせるつもりでした。

> PS
> 上記考察にはLoA
> https://www.gakunin.jp/docs/fed/loa/loa1program
> の話は入っておりません。万が一、このような実装にすることでLoA 1の取得が
> 難しくなる等の弊害がありましたら、ごめんなさい。

このあたりにはやや不安を感じますが、とりあえずやってみようと思います。

どうもありがとうございました。

-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722