...
注意 |
---|
IdPにてNameIDを暗号化する設定にしている場合、上記設定だけではうまく連携できない可能性があります。その場合は、特定のSPへのアサーションを暗号化しない設定を参考に、encryptAssertionsは<DefaultRelyingParty>の設定を引き継ぎ、encryptNameIdsだけを"never"に変更してください。 |
特定のSPに対しメールアドレスをNameIDに入れて送る設定方法
基本的な方法はePPNをNameIDに入れて送る場合と同じです。
attribute-resolver.xmlの設定
NameIDとしてメールアドレスを生成するAttributeDefinition(id=nameIdEmail)をattribute-resolver.xmlへ追加します。
コード ブロック | ||
---|---|---|
| ||
<resolver:AttributeDefinition id="nameIdEmail" xsi:type="Simple"
xmlns="urn:mace:shibboleth:2.0:resolver:ad"
sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
nameFormat="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" />
</resolver:AttributeDefinition> |
attribute-filter.xmlの設定
例えば、entityID="https://example.org/shibboleth-sp" のSPに対しNameIDとしてメールアドレスを送出するには、下記の設定をattribute-filter.xmlに追加します。
コード ブロック | ||
---|---|---|
| ||
<afp:AttributeFilterPolicy xmlns:afp="urn:mace:shibboleth:2.0:afp">
<afp:PolicyRequirementRule xsi:type="basic:AND">
<basic:Rule xsi:type="basic:AttributeRequesterString" value="https://example.org/shibboleth-sp" />
<basic:Rule xsi:type="basic:PrincipalNameString" value="test001" />
</afp:PolicyRequirementRule>
<afp:AttributeRule attributeID="transientId">
<afp:DenyValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
<afp:AttributeRule attributeID="nameIdEmail">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy> |
属性値生成
同じ値が再割り当てされないeduPersonTargetedIDの生成方法
...