...
さらに、特定のSPに対して証明書認証以外を利用させたくない場合は、relying-party.xmlの設定で p:authenticationFlows="#{{'X509'}}" のように利用可能な認証手段を指定してください。
トラブルシューティング
※Apacheではクライアント証明書が認識されているがその情報がTomcatに伝わっていない場合、Apacheではクライアント証明書が認識されているがその情報がTomcatに伝わっていない場合、/usr/javashare/tomcat/conf/server.xmlの8009番ポートConnectorにtomcatAuthentication="false"が設定されていることを確認してください。
参考: jdk 7、tomcat 8、tomcat 7をインストールする
参考
IdPv3の証明書認証の詳細: Shibboleth Wiki: X509AuthnConfiguration