...
ePPNの送信に関しては、フェデレーションに参加する全てのSPに対して同じ値を送信する必要があることが学認の属性リスト ( eduPersonPrincipalName ) にも明記されています。
クラウドゲートウェイとIdPから得られる情報の違いについて
クラウドゲートウェイではグループID(isMemberOf)のほかにクラウドゲートウェイ上に保持する属性としてeduPersonTargetedID (ePTID)、メールアドレス(mail)、氏名(displayName)等を保持しており、これらを利用者の同意に基づいて対応SPへ送信することが可能です。
また、同時にこれらの情報は所属機関IdPで属性の送信を許可している場合にはIdPから情報を得ることも可能となっています。
対応SPでこれらの情報を利用する場合には正確性や入手容易性に関する次の特性をふまえ、属性値の利用を検討してください。
- IdPから送信される属性は学認技術運用基準 ( https://www.gakunin.jp/join/production/ ) 等の定めにより、送信される属性がその機関によって保証されています。
送信できる属性については各所属機関のIdP管理者によって設定されます(最終的にはIdP付属の機能やuApprove JP等によりユーザが属性送信に同意したものが送られますが、その範囲はIdP管理者が許可した範囲にとどまります)。また、属性送信可否の決定プロセスは各機関でまちまちですが、上位委員会の決定に従うところもあるようです。 - クラウドゲートウェイから送信される属性のうちePTIDを除く属性についてはユーザ自身が設定した値であり、入力された値の正確性の保証はされません。
送信できる属性については各グループ管理者によって決定されます(最終的にはユーザが属性送信に同意したものが送られますが、その範囲はグループ管理者が許可した範囲にとどまります)。