...
- 単一値でない(属性値として複数の値を許容している)のは、eduPersonTargetedID, eduPersonAffiliation, eduPersonScopedAffiliation, eduPersonEntitlement, gakuninScopedPersonalUniqueCode, isMemberOf のみ。
- 個人を識別するために使用できる(つまり他人の属性値と重複しない)属性は、eduPersonPrincipalName(ePPN), eduPersonTargetedID(ePTID), およびgakuninScopedPersonalUniqueCode。
- 厳密に言えば、ePPNおよびePTIDについては、24カ月のブランクの後同じ属性値が他人に対して再利用される場合がある(学認技術運用基準8.2に基づけば)。gakuninScopedPersonalUniqueCodeについては各機関のルールに従う。
- ePTIDについては、異なるSPに対しては異なる属性値が送信される。また、複数の値が許容されているものの、学認が把握している範囲では全てのIdPで単一の値が送信される。
- gakuninScopedPersonalUniqueCodeについては、IdP側の判断によるが、学生であり教員である個人に対して複数の属性値が送信される可能性がある。
- mail属性も、各人について別々のものが送信される可能性があるが、重複しないかどうかは各IdPに確認が必要。
- eduPersonの最新のSpecificationは以下で確認できますが、学認では技術運用基準に定める通りの版に従います。
⇒ http://macedir.org/specs/eduperson
過去のSpecificationは下記ページの「FEATURES」タブからたどれます。
https://www.internet2.edu/products-services/trust-identity/eduperson-eduorg/#service-features
2017-01-16時点で最近の版は以下の通りです。 - スコープ付き属性は次の3つ: eduPersonPrincipalName, eduPersonScopedAffiliation, gakuninScopedPersonalUniqueCode
メタデータ上でのスコープ宣言に関する仕様: https://wiki.shibboleth.net/confluence/display/SC/ShibMetaExt+V1.0#ShibM... - Shibboleth SPとsimpleSAMLphpのSPは、スコープをチェックする機能を持つようです。
MicrosoftのADFSをSPとして使う場合で、スコープをチェックする方法: [REFEDS ML] RE: ADFS and SAML Scope