...
※学認ガイドに従って構築されたIdPでは、通常NameIDにはtransientIdが使われており、デフォルトで全てのSPに対してこのNameIDが送出される設定になっています。そのため、下記にはtransientIdのNameIDを送出させないための設定が入っています。使われており、デフォルトで全てのSPに対してこのNameIDが送出される設定になっています。1つのアサーションに複数のNameIDを入れることはできないため、下記にはtransientIdのNameIDを送出させないための設定が入っています。
| コード ブロック | ||||
|---|---|---|---|---|
| ||||
<AttributeFilterPolicy id="PolicyforExampleOrg">
<PolicyRequirementRule xsi:type="basic:AttributeRequesterString"
value="https://example.org/shibboleth-sp" />
<AttributeRule attributeID="transientId">
<DenyValueRule xsi:type="basicANY" />
</AttributeRule>
<AttributeRule attributeID="nameIdEPPN">
<PermitValueRule xsi:type="basic:ANY" />
</AttributeRule>
</AttributeFilterPolicy> |
...
| 要素名 | 属性名 | 説明 |
|---|---|---|
AttributeFilterPoicy | id | ポリシー名として一意な値を設定してください。例えば、学認のウェブサイトの公開情報では"Policyfor<SP名>"としています。 |
| value | 属性送出先のentityIDを設定します。 |
| 注意 |
|---|
IdPにてNameIDを暗号化する設定にしている場合、上記設定だけではうまく連携できない可能性があります。その場合は、特定のSPへのアサーションを暗号化しない設定を参考に、encryptAssertionsは<DefaultRelyingParty>の設定を引き継ぎ、encryptNameIdsだけを"never"に変更してください。 |
...