...
SpringerはentityIDを見ているため属性情報の送出は不要です。しかし、SpringerではTransient IDが送出されない場合にはIdPでの認証後に以下のようにエラーとなることがわかっています。
学認が提供しているattribute-filter.xmlのテンプレートでは以下のように Transient ID に関してすべてのSPに対して送出するようなっていますが、なんらかの理由で送出しない設定にしている場合はSpringer向けに Transient ID の送出設定を追加してください。
...
学認で提供している構築手順による標準的な設定の場合はすべてのSPに送信されますが、Transient IDの送出先を制限している場合には対象となるentityIDへTransient IDが送出されるようになっているかご確認ください。以下のコマンドで確認することも可能です。出力の<saml2:NameID ...>の部分のFormat属性がFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"であることを確認してください。
| 書式設定済み |
|---|
$ /opt/shibboleth-idp/bin/aacli.sh --principal="ユーザ名" --requester="https://fsso.springer.com" --saml2 |
IdPメタデータに記載する証明書についての注意
IdPが有効期限切れの証明書をアサーションの署名に使っているとエラーになることが確認されていますので、期限内にメタデータ記載の証明書更新手順(IdP)の手順に従って証明書を更新するようご注意ください。
...