...
注意 |
---|
前項と同様、同一のIDが2つのLDAPツリー上に存在すると問題になりますので、uidがこの条件を満たさない場合は他の属性をID(principal)として使うようにしてください。 |
特定のSPへのアサーションを暗号化しない設定
学認ではシステム運用基準として、アサーション学認では技術運用基準として、アサーション(IdPで生成した利用者の属性等の情報)をSPに送る際には暗号化すべき(SHOULD)であると定めています(*1)が、Google AppsやOffice 365などのように暗号化したアサーションを受け付けないSPも存在します。Shibboleth IdPのデフォルトの挙動は、SPに対して送信するアサーションを暗号化するようになっていますので、そのような特定のSPに対して送信するアサーションを暗号化しないように設定する方法を以下に記載します。IdPのデフォルトの挙動は、全てのSPに対して送信するアサーションを暗号化するようになっていますので、そのような特定のSPに対して送信するアサーションを暗号化しないように設定する方法を以下に記載します。
- (*1) 学術認証フェデレーション システム運用基準 学認技術運用基準 (Ver.12.20)
2.2) 認証応答
(...略...)さらに,認証アサーションに対して,暗号化をすべきである。さらに、認証アサーションに対して、暗号化をすべきである。
relying-party.
xmlの<DefaultRelyingParty>の下に次の設定を追加します。設定内容はIdPにより異なるため、<DefaultRelyingParty>にある内容をコピーして挿入し、encryptAssertionsおよびencryptNameIdsをxml
の<DefaultRelyingParty>
の下に次のように特定のSPに対する設定を追加します。SPのentityID
の部分と IdPのentityID
の部分を適切に置き換えてください。また、<RelyingParty>
内の設定内容(子要素)はIdPにより異なるため、既存の<DefaultRelyingParty>
の子要素をコピーして挿入し、encryptAssertions
およびencryptNameIds
を"never"
に変更してください。に変更するようにしてください。
コード ブロック | ||||
---|---|---|---|---|
| ||||
<RelyingParty id="SPのentityID" provider="IdPのentityID" defaultSigningCredentialRef="IdPCredential"> ... <ProfileConfiguration xsi:type="saml:SAML2SSOProfile" includeAttributeStatement="true" assertionLifetime="300000" assertionProxyCount="0" signResponses="conditional" signAssertions="never" encryptAssertions="never" encryptNameIds="never" /> ... </RelyingParty> |
...