[upki-fed:00724] IdP側でSPごとに利用制御することは可能でしょうか？

[Hiroshi OGI <xxxxx@xxxxxxxxxxxxxxxx>]

みなさま，初めまして．
京都府立医科大学の荻といいます．
お世話になります．

本学で学認への参加（とIdP構築）を検討しており，現在情報を
収集しております．

サービスの利用制御およびシングルサインオンとの関係について
不明なことがあり，どなたかご教示いただきたくメールをいたし
ました．

（より）具体的には以下のような事項です．

■背景
サービス（外部SP）はA，B，Cの3種類．
学内の構成員を2グループ（甲，乙）に分け，
・グループ甲に属する構成員は全サービス利用可能
・グループ乙に属する構成員はサービスAとCのみ利用可能
としたい．

■質問１
IdPにて学内の情報（利用者がどのグループに属するか）をみながら，
SPへの認証問い合わせの返答を変化させる（属性値を変える or 認証を失敗させる）
ことで対応できるのではないかとぼんやりと想像しているのですが，実現可能
なものでしょうか？

■質問２
実現可能だとすると，シングルサインオンとの関係はどのように
なりますでしょうか？

２−１）グループ乙所属の利用者がAでサインインした後，Bを利用
しようとした場合，正常に利用不可（認証失敗）になりますでしょうか？
※質問１の内容に近いものですが，AでサインインするとBもそのまま利用
可能になってしまうのではないかと心配しております．

２−２）グループ乙所属の利用者がAでサインインした後，Bを利用
しようとして拒否され，その後AあるいはCを利用する場合，サインイン
状態になるのか，改めてサインインする必要があるかどちらでしょうか．


技術的な知識としては手元でIdP構築のまねごとをした程度のものであり，
思い違いをしている部分もあるかと思います．
「ここを読めば分かる」といったものでも結構ですので，どうぞよろしく
お願いいたします．

：荻寛志
京都府立医科大学 総合情報センター