...
※学認ガイドに従って構築されたIdPでは、通常NameIDにはtransientIdが使われており、デフォルトで全てのSPに対してこのNameIDが送出される設定になっています。そのため、下記にはtransientIdのNameIDを送出させないための設定が入っています。使われており、デフォルトで全てのSPに対してこのNameIDが送出される設定になっています。1つのアサーションに複数のNameIDを入れることはできないため、下記にはtransientIdのNameIDを送出させないための設定が入っています。
コード ブロック | ||||
---|---|---|---|---|
| ||||
<AttributeFilterPolicy id="PolicyforExampleOrg"> <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://example.org/shibboleth-sp" /> <AttributeRule attributeID="transientId"> <DenyValueRule xsi:type="basicANY" /> </AttributeRule> <AttributeRule attributeID="nameIdEPPN"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule> </AttributeFilterPolicy> |
...
要素名 | 属性名 | 説明 |
---|---|---|
AttributeFilterPoicy | id | ポリシー名として一意な値を設定してください。例えば、学認のウェブサイトの公開情報では"Policyfor<SP名>"としています。 |
| value | 属性送出先のentityIDを設定します。 |
注意 |
---|
IdPにてNameIDを暗号化する設定にしている場合、上記設定だけではうまく連携できない可能性があります。その場合は、特定のSPへのアサーションを暗号化しない設定を参考に、encryptAssertionsは<DefaultRelyingParty>の設定を引き継ぎ、encryptNameIdsだけを"never"に変更してください。 |
...