Skip to end of metadata
Go to start of metadata

属性リスト

学術認証フェデレーションで利用を推奨する属性は以下の通りです。
公式なものについては学認技術運用基準にも掲載されております。

各SPとの接続情報については、こちらをご覧ください。

Name (friendlyName)

OIDs

mail

0.9.2342.19200300.100.1.3

sn

2.5.4.4

o

2.5.4.10

ou

2.5.4.11

givenName

2.5.4.42

displayName

2.16.840.1.113730.3.1.241


eduPersonスキーマより:

Name (friendlyName)

eduPerson OIDs

eduPersonAffiliation

1.3.6.1.4.1.5923.1.1.1.1

eduPersonPrincipalName

1.3.6.1.4.1.5923.1.1.1.6

eduPersonEntitlement

1.3.6.1.4.1.5923.1.1.1.7

eduPersonScopedAffiliation

1.3.6.1.4.1.5923.1.1.1.9

eduPersonTargetedID

1.3.6.1.4.1.5923.1.1.1.10

eduPersonAssurance1.3.6.1.4.1.5923.1.1.1.11
eduPersonUniqueId1.3.6.1.4.1.5923.1.1.1.13
eduPersonOrcid1.3.6.1.4.1.5923.1.1.1.16


eduMemberスキーマより:

Name (friendlyName)

eduMember OIDs

isMemberOf

1.3.6.1.4.1.5923.1.5.1.1


jaPerson/jaOrganizationスキーマ(GakuNinスキーマ)に依るもの:

Name (friendlyName)

jaPerson/jaOrganization/gakuninPerson OIDs

jasn

1.3.6.1.4.1.32264.1.1.1

jaGivenName

1.3.6.1.4.1.32264.1.1.2

jaDisplayName

1.3.6.1.4.1.32264.1.1.3

jao

1.3.6.1.4.1.32264.1.1.4

jaou

1.3.6.1.4.1.32264.1.1.5

gakuninScopedPersonalUniqueCode

1.3.6.1.4.1.32264.1.1.6

GakuNinスキーマのダウンロード:gakunin.schema

 

現在検討中もの:
(※学認技術運用基準未掲載)
なし

属性の提供・利用方法

Shibbolethで上記属性を使用する場合、特に日本語の属性についてはデフォルトでは扱えるようになっていません。以下の属性設定テンプレートから必要なものを取得して導入してください。
技術ガイド#テンプレート

参考情報

※ 正確な情報は上表を参照してください。

  • 単一値でない(属性値として複数の値を許容している)のは、eduPersonTargetedID, eduPersonAffiliation, eduPersonScopedAffiliation, eduPersonEntitlement, gakuninScopedPersonalUniqueCode, isMemberOf, eduPersonAssurance, eduPersonOrcid のみ。
  • 個人を識別するために使用できる(つまり他人の属性値と重複しない)属性は、eduPersonPrincipalName(ePPN), eduPersonTargetedID(ePTID), eduPersonUniqueId およびgakuninScopedPersonalUniqueCode, eduPersonOrcid。
    • 厳密に言えば、ePPNおよびePTIDについては、24カ月のブランクの後同じ属性値が他人に対して再利用される場合がある(学認技術運用基準8.2に基づけば)。gakuninScopedPersonalUniqueCodeについては各機関のルールに従う。
    • ePTIDについては、異なるSPに対しては異なる属性値が送信される。また、複数の値が許容されているものの、学認が把握している範囲では全てのIdPで単一の値が送信される。
    • gakuninScopedPersonalUniqueCodeについては、IdP側の判断によるが、学生であり教員である個人に対して複数の属性値が送信される可能性がある。
    • mail属性も、各人について別々のものが送信される可能性があるが、重複しないかどうかは各IdPに確認が必要。
  • eduPersonの最新のSpecificationは以下で確認できますが、学認では技術運用基準に定める通りの版に従います。
    http://macedir.org/specs/eduperson
    過去のSpecificationは下記ページの「FEATURES」タブからたどれます。
    https://www.internet2.edu/products-services/trust-identity/eduperson-eduorg/#service-features
    2017-01-16時点で最近の版は以下の通りです。
  • スコープ付き属性は次の4つ: eduPersonPrincipalName, eduPersonScopedAffiliation, gakuninScopedPersonalUniqueCode, eduPersonUniqueId
    メタデータ上でのスコープ宣言に関する仕様: https://wiki.shibboleth.net/confluence/display/SC/ShibMetaExt+V1.0#ShibM...
  • Shibboleth SPとsimpleSAMLphpのSPは、スコープをチェックする機能を持つようです。
    MicrosoftのADFSをSPとして使う場合で、スコープをチェックする方法: [REFEDS ML] RE: ADFS and SAML Scope
  • No labels