WAYFless URL (Shibboleth)

学認(Shibboleth)によるシングルサインオンというのはログインIDとPWの統一には成功しているけれど、ログイン *方法* の統一には至っていないのだなあ、とあらためて感じた。



一般にログイン画面までの到着方法はサービスプロバイダ(SP)ごとに微妙に異なる。結果、リモートアクセスサービスの提供者(大学図書館など)は以下のようにSP個別のマニュアルを用意しないといけない。これはシングルサインオンとしては理想的な状態とはいえない。もちろん現状では案内を出したほうがいいに決まってるんだけど(なお、この2つはしっかりしてるなぁと感心してしまった例です)。
http://gkweb.auth.osaka-u.ac.jp/
http://www.mnc.toho-u.ac.jp/nmc/shibboleth.php



こういったSPごとの違いをなるべく気にしないでもらえるようにできるといいなあ、と願う。

ざっとまとめると、図書館などのサイトから各SPへナビゲートするとき、リンク先としては

  1. SPのトップページなど
  2. 学認ディスカバリサービス(DS)画面のURL
  3. SPのWAYFless URL
    • WAYF = Where are you from? = ディスカバリサービス、をすっとばせる
    • こんな感じ(うちの環境ではページ中のステップ2は登場せず、そのままIdPにリダイレクトされる)。http://www.mnc.toho-u.ac.jp/nmc/ebrary.php
    • アーティクルレベルでのリンクにも便利

の3つがあるだろうか。(2)と(3)だと上の願いが叶えられる。



この(3)WAYFless URLについてまとまった日本語情報がなくて戸惑ってしまった。

どうもIdPから始まるWAYFlessとSPから始まるWAYFlessがあるようだけどそれでいいの?という点が分からなくて、きちんと解説した資料を探していたらUK federationのサイトにたどりついた。
http://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf

このドキュメントでは、SP/IdPがWAYFless URLを実現する際の推奨事項がまとめられている。WAYFless URLにはSP-sideとIdP-sideの2つの方法があるとし、SP-sideがおすすめであることとその理由(=IdP-sideではSPのURLがハードコーディングされて変更時にメンテが必要になるから)を述べている。基本的にはSP側でもIdP側でもない図書館としては最初のExecutive Summaryだけ読めば十分かな。

UK federationはWAYFless URLのリストを整備していてえらい。加えて、IdPとSPからWAYFless URLを生成するWUGENというジェネレーターも公開している。
http://www.ukfederation.org.uk/content/Documents/WAYFlessServices
http://wugen.ukfederation.org.uk/urlgenerator/login.jsp



とはいえ、(リモートアクセスという文脈では特に)図書館の提供したサイトからSPにアクセスするユーザばかりではないし、SP側でUIを標準化していってもらったほうがトータルとしては良い環境になるんだろうか。ユーザに慣れてもらうことを期待するならば、WAYFless URLを使うのは教育の機会を減らすのでかえってよくないのかも。気にしすぎか。。