...
「技術ガイド > IdPセッティング > サーバ証明書の設定 > Back-Channelの設定」のSOAP設定でのclientAuthに設定する値がtrueから 」の「2.SOAP設定」でclientAuthに設定する値がtrueから want に変更されています。本家 の情報も更新されていますので、Tomcatの設定ファイルserver.xmlを合わせて修正することをおすすめいたします。
...
学認ではシステム運用基準として、アサーション(IdPで生成した利用者の属性等の情報)をSPに送る際には暗号化すべき(SHOULD)であると定めています(*1)が、Google AppsやOffice 365などのように暗号化したアサーションを受け付けないSPも存在します。Shibboleth IdPのデフォルトの挙動は、SPに対して送信するアサーションを暗号化するようになっていますので、そのような特定のSPに対して送信するアサーションを暗号化しないように設定する方法を以下に記載します。
- (*1) https://www.gakunin.jp/docs/files/GakuNin_System_SpecV1.2.pdf 学術認証フェデレーション システム運用基準 (Ver.1.2)
2.2) 認証応答
(...略...)さらに,認証アサーションに対して,暗号化をすべきである。
...
要素名 | 属性名 | 説明 |
---|---|---|
AttributeFilterPoicy | id | ポリシー名として一意な値を設定してください。例えば、学認のウェブサイトの公開情報ではポリシー名として一意な値を設定してください。例えば、学認Webサイト IdP・SP一覧の管理者向けマニュアルでは"Policyfor<SP名>"としています。 |
| value | 属性送出先のentityIDを設定します。 |
...