...
さらに、特定のSPに対して証明書認証以外を利用させたくない場合は、relying-party.xml
の設定で p:authenticationFlows="#{{'X509'}}"
のように利用可能な認証手段を指定してください。
トラブルシューティング
Apacheではクライアント証明書が認識されているがその情報がTomcatに伝わっていない場合、Tomcatを使っている場合で、Apacheではクライアント証明書が認識されているがその情報がTomcatに伝わっていない場合、/usr/share/tomcat/conf/server.xmlの8009番ポートConnectorにtomcatAuthentication="false"が設定されていることを確認してください。
参考: jdk 8、tomcat 7をインストールする
参考
IdPv3の証明書認証の詳細: Shibboleth Wiki: X509AuthnConfiguration