Shibboleth IdPバージョン4がリリースされてしばらくたちますが、SPから提供される情報が最新の情報を反映したものとは限りません。IdPバージョン4がリリースされてしばらくたちますが、残念ながらSPから提供される情報が最新の情報を反映したものとは限りません。
ここでは、SPからの情報が古いと思われる場合にどう読み替えればよいかを説明します。
...
大抵の「古い」SP情報は「旧書式」かつ「正式属性名」で書かれていますのでこれを前提とします。これをお使いの環境に合わせて以下の手順で読み替えを行ってください。(必ず1.で取得した情報に従って必要な手順のみ実行してください。おそらく「旧書式→新書式」は共通の手順で、お使いの学認テンプレートのバージョンによって「正式属性名→略式属性名」は実行しなければならない場合と実行してはならない場合があります)
旧書式→新書式
| コード ブロック | ||||||
|---|---|---|---|---|---|---|
| ||||||
<!-- Policy for GakuNin Example SP -->
<afp:AttributeFilterPolicy id="PolicyforGakuNinExampleSP" xmlns:afp="urn:mace:shibboleth:2.0:afp">
<afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://sp.example.ac.jp/shibboleth-sp" />
<afp:AttributeRule attributeID="eduPersonPrincipalName">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="organizationName">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy> |
旧書式→新書式
SPからの接続情報に限定して簡略化すると手順は以下のようになります。SPからの接続情報に限定して簡略化すると以下のようになります。
afp:を全て削除する(該当しない場合は無視)xmlns:afp="urn:mace:shibboleth:2.0:afp"を削除する(該当しない場合は無視)basic:AttributeRequesterStringをRequesterで置き換える- 残りの
basic:を全て削除する
詳細:attribute-resolver.xml/attribute-filter.xmlの名前空間フラット化への対応手順
正式属性名→略式属性名
学認テンプレート attributeID="..." となっている中身について、以下の置き換えを行います。 となっている部分の属性名について、以下の置き換えを行います。
| 正式属性名 | 略式属性名 |
|---|---|
jaOrganizationalUnitName | jaou |
jaOrganizationName | jao |
jaSurname | jasn |
organizationalUnitName | ou |
organizationName | o |
surname | sn |
詳細:テンプレート学認テンプレートの「更新情報2020年8月11日(4.0.0)」
以上
関連:SP管理者向けの情報:(SP運用担当者向け)学認Webサイトで公開されているSPマニュアルの書き方(IdP向け属性送信設定方法等)