rrsympo2013_announcement02.pdf

Type: Document | Status: ready
← All sources

ReaD&Researchmapと 京都大学教育研究活動DBの 連携および代理入力機能の追加

京都大学 情報環境機構 IT企画室 古村隆明

目標 • 京都大学教育研究活動DB(kyouindb)と ReaD&Researchmap(RR)のシームレスな連携 kyouindb編集画面 RR RR編集画面 2

RRとの連携の意義 • 所属組織が変わっても情報を維持できる • 「外部DBからのインポート」機能の利用

• RRではカバーしきれない多数の項目 • 情報の利用目的の違い kyouindbを残す理由 3

RRとの連携に向けての二つの課題

  1. Shibboleth認証でのシームレスな連携

  2. 代理入力機能の実現 4

RR編集画面 Shibboleth連携だけでは kyouindb編集画面 RR 初めて利用するとき IDの関連づけ操作が必要 5

IDの関連づけとは? • RRは独自IDでアカウントを管理 • Shibboleth認証ではShibboleth用IDを利用 • 二つのIDに関連性はない • 両IDで認証を成功させて関連づける必要あり

• 操作できるのは本人だけ RR ID PW taro …… jiro …… hanako …… Shibboleth IdP Shibboleth用ID=kyoto.taro ID関連づけ 6

管理者によるID関連づけ • 本人しか行えなかった関連づけ操作を 管理者からも可能に

• 教員の負担軽減 • 第一歩目の障害を取り除く 7

管理者によるID関連づけ操作 • 「機関IdP管理者」画面を新設 • 研究者番号とShibboleth用IDのペアを 記載したファイルをアップロード

– 所属が自組織内の研究者のみ – 本人が事務担当者の上書きを 認めている研究者のみ RR ID 研究者番号 taro 123456.. jiro 223456.. hanako 211293.. ID 研究者番号 Shibboleth-ID taro 123456.. kyoto.taro@kyoto-u jiro 223456.. yoshida.jiro@... hanako 211293.. katsura.hanako@... 1.研究者リストダウンロード 2.Shibboleth-IDを追記 3.アップロード 8

RRとのシームレスな連携が実現(予定) • 初回からこの動作が可能に – 論文、学会発表、書籍、特許などで利用予定 kyouindb編集画面 RR RR編集画面 9

代理入力とは 例:教授の代わりに秘書が業績情報等を登録

• 編集権限を他者(代理人)に与える – 代理人を登録できるのは本人だけ – 代理人は秘書・事務職員・他の教員など様々 – 代理人は複数人登録できる – 一人が複数の研究者の代理人になれる

• kyouindbでは100名以上が利用 10

本人と代理人の関係(1) • 例 A B C D A B C D A B C D 教 授

准 教 授

助 教

秘 書

AはB,C,Dに権限委譲 BはC,Dに権限委譲 CはB,Dに権限委譲 権限委譲を表す 11

Cの代理人 グループ Bの代理人 グループ Aの代理人 グループ 本人と代理人の関係(2) • 権限委譲の関係を 「グループとそのメンバ」 として捉える B C D C D B D 12

Cの代理人 グループ Bの代理人 グループ Aの代理人 グループ 本人と代理人の関係(3) • 権限委譲の関係を 「グループとそのメンバ」 として捉える B C D C D B D BはグループA,Cのメンバ B is Member of A, C 13 CはグループA,Bのメンバ C is Member of A, B DはグループA,B,Cのメンバ D is Member of A, B, C

学認mAPを応用 • Shibbolethで利用できる グループ・メンバ管理の仕組み

• Shibboleth認証した利用者が 属しているグループのリストを提供する

• 研究者ごとにグループを作成し、 グループ管理者=研究者自身 グループメンバ=代理人 とすると、mAPの枠組みをそのまま利用可能

14

Shibboleth IdPとmAPから 受け取る情報 Shibboleth SP (RR,kyouindb) Shibboleth IdP Shibboleth-ID=B Shibboleth-ID=C Shibboleth-ID=D 学認mAP B isMemberOf: A,C C isMemberOf: A,B D isMemberOf: A,B,C グループC グループB グループA B C D C D B D 15

代理入力の実現 • kyouindbとRRの両方がmAPから 利用者の属するグループリストを取得

• 権限が複数の場合、kyouindbで どの権限で編集するか選択してから利用

• RRと連携する際、kyouindbで選択している編集対象 者をURLパラメータで渡す

• RRはkyouindbから受け取った対象者が mAPから受け取ったグループリストに含まれていれば 代理人として編集画面を表示 16

代理入力者情報の流れ RR Shibboleth IdP 学認mAP kyouindb (1) Shibbolet-ID=C (2) C isMemberOf: A,B (3) C(本人)、A,B(代理人)の中から A(代理人)の権限を選択して編集 CがAの代理人として編集する場合 (4) RRでAの編集をリクエスト (5) Shibbolet-ID=C (6) C isMemberOf: A,B (7) (4)でリクエストされたAが (6)のリストに含まれていることを 確認したのち代理人として編集可 代理人の登録・削除 • 学認mAPに備わっているメンバの 登録・削除機能をカスタマイズして利用

• mAPの一部機能を制限 – グループ管理者の変更不可 – 新規グループの作成不可など 18

まとめ • 管理者によるID関連づけ機能で、 Shibboleth認証連携をスムーズに

• 代理入力を実現するために 学認mAPを応用 19