学認が提供しておりますIAL2およびAAL2文書に準拠していることを示すための技術情報を記します。
SAMLでの規定およびREFEDS等での利用から、下記要素・属性を用いることとする。
SAMLの規定により、認証要求(AuthnRequest)には AuthnContextClassRef という認証方式に関するパラメーターを含めることができる。
通常は無指定であり、どんな認証方式でもOKであることを表す。
例えば、パスワード認証は以下の識別子で指定できる:
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
認証要求の AuthnContextClassRef を使うと、通常はパスワード認証でOKだが、機密度・重要度の高いサービスは「パスワードでない何か」を求めることができる。
AAL2については認証要求およびアサーションのAuthnContextClassRefに下記識別子を格納することとする。
IAL2についてはアサーションのeduPersonAssurance属性に下記識別子を格納することとする。
AAL2を要求する記述例
<Location /restricted-attrviewer/ialaal.php> ShibRequestSetting authnContextClassRef https://www.gakunin.jp/profile/AAL2 </Location> |
IAL2を受信する記述例
$ary = preg_split("/(?<!¥¥¥);/", $_SERVER["assurance"]); foreach ($ary as $val) { if ($val == "https://www.gakunin.jp/profile/IAL2") { .... } } |
AAL2を受信(要求に応えるのはSAML的にMUSTだが念の為)
if ($_SERVER["Shib-AuthnContext-Class"] == "https://www.gakunin.jp/profile/AAL2") { |
AAL2について:
IAL2について:
他の考慮点:AAL2付与されないIDへの救済措置
IdPのIAL2/AAL2対応状況やSPの要求状況を示すための、メタデータへの記載方法については検討中である。
IdP側改修における要求仕様例:
東京大学での試行における技術情報提供: