Shibboleth IdP 3のユーザー同意機能とuApprove JPの相違点をまとめているページです。
属性選択画面
必須属性とオプショナル属性
uApprove JPは、conf/attribute-filter.xml
の<PermitValueRule xsi:type="uajpmf:AttributeInMetadata">
とSPメタデータの//md:SPSSODescriptor/md:
AttributeConsumingService/md:RequestedAttribute
に基づいて属性を必須属性とオプショナル属性としてわけ、オプショナル属性にはチェックボックスにより属性を送出をユーザに委ねます。
PermitValueRule
| md: AttributeConsumingServiceなし | md: AttributeConsumingServiceあり | |||
---|---|---|---|---|---|
md:RequestedAttributeなし | md:RequestedAttributeあり | ||||
isRequired="false" | isRequired="true" | ||||
uajpmf:AttributeInMetadata onlyIfChecked="true" | onlyIfRequired="false"matchIfMetadataSilent="false" | 表示しない | 表示しない | オプショナル属性 | 必須属性 |
onlyIfRequired="false" matchIfMetadataSilent="true" | オプショナル属性 | 表示しない | オプショナル属性 | 必須属性 | |
onlyIfRequired="true"matchIfMetadataSilent="true" | オプショナル属性 | 表示しない | 表示しない | 必須属性 | |
onlyIfRequired="true"matchIfMetadataSilent="false" | 表示しない | 表示しない | 表示しない | 必須属性 |
Shibboleth IdP 3では、conf/
idp.properties
のidp.consent.allowPerAttribute
プロパティをtrue
に変更することでチェックボックスを表示することは可能ですが、表示される全ての属性がチェックボックスにチェックがついた状態で表示されます。
属性の表示順のカスタマイズ
uApprove JPは、conf/uApprove.properties
のar.attributes.order
プロパティで表示する属性の順序をカスタマイズ可能で、かつar.attributes.order
プロパティにない属性についてはar.attributes.order
プロパティの属性の後に文字列順で表示します。
Shibboleth IdP 3では、3.2.0以降よりconf/idp.properties
のidp.consent.attributeOrder
プロパティで表示する属性の順序がカスタマイズ可能になる予定です。[DP-624
]
属性の説明
uApprove JPは、conf/attribute-resolver.xml
の//resolver:AttributeDefinition/resolver:DisplayDescription
で定義されている属性毎の説明を表示する機能があります。
Shibboleth IdP 3では、3.2.0以降よりviews/intercept/attribute-release.vm
から$attributeDisplayDescriptionFunction
を呼び出すことで属性毎の説明を表示できる予定です。[IDP-637
]
属性のSPでの使用用途の通知
uApprove JPは、SP管理者がSPメタデータに記述した//
md:
SPSSODescriptor/md:Extensions/uajpmd:RequestedAttributeExtension
を利用して、SPが使用する属性についてユーザに属性の使用用途(例えば、「mail属性を登録ページのメールアドレス欄の初期値として使用します」など)を通知する機能を有しています。
Shibboleth IdP 3のユーザ同意機能には同等の機能はありません。
Attribute Query
uApprove JPは、SPからのpersistent-idによるAttribute Queryに対して、ユーザの同意に基づいて応答を返します。具体的な挙動は下記の通りです。
- 「毎回確認」の場合は、同意済みの属性情報がない場合と同じ形式の応答を返します。
- 「保存する」の場合は、ストレージから取得した同意済み属性情報と比較して値が変化していない属性だけを応答します。
- 「表示しない」の場合は、最新の属性情報をすべて応答します。
Shibboleth IdP 3は、persistent-idによるAttribute Queryに対して、ユーザの同意に基づかずに、常に最新の属性情報をすべて応答します。