Child pages
  • Jetty 12へのマイグレーション

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  1. IdPメタデータの<AttributeService>Location属性からポート 8443を削除した上で、学認申請システムからテンプレート外メタデータとして変更申請を行います。
    コード ブロック
    languagediff
    titleIdPメタデータ
             <AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding"
    -                          Location="https://idp.example.ac.jp:8443/idp/profile/SAML1/SOAP/AttributeQuery"/>
    +                          Location="https://idp.example.ac.jp/idp/profile/SAML1/SOAP/AttributeQuery"/>
             <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP"
    -                          Location="https://idp.example.ac.jp:8443/idp/profile/SAML2/SOAP/AttributeQuery"/>
    +                          Location="https://idp.example.ac.jp/idp/profile/SAML2/SOAP/AttributeQuery"/>
    
             <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
  2. SAML1.AttributeQueryプロファイル、およびSAML2.AttributeQueryプロファイルでSAMLアサーションを署名するために、signResponses="true"を設定します。
    コード ブロック
    languagediff
    title/opt/shibboleth-idp/conf/relying-party.xml
         <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty">
             <property name="profileConfigurations">
                 <list>
                     <!-- SAML 1.1 and SAML 2.0 AttributeQuery are disabled by default. -->
                     <!-- -->
                     <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
    -                <ref bean="SAML1.AttributeQuery" />
    +                <bean parent="SAML1.AttributeQuery" p:signResponses="true" />
                     <ref bean="SAML1.ArtifactResolution" />
                     <!-- -->
                     <bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release" />
                     <ref bean="SAML2.ECP" />
                     <ref bean="SAML2.Logout" />
                     <!-- -->
    -                <ref bean="SAML2.AttributeQuery" />
    +                <bean parent="SAML2.AttributeQuery" p:signResponses="true" />
                     <!-- -->
                     <ref bean="SAML2.ArtifactResolution" />
                 </list>
             </property>
         </bean>
    同じくBack-Channelを利用するSAML1.ArtifactResolutionプロファイル、SAML2.ArtifactResolutionプロファイルは、学認申請システムが生成したメタデータを利用していた機関はコメントアウトして大丈夫です。
    SAML1.ArtifactResolutionプロファイル、SAML2.ArtifactResolutionプロファイルがコメントアウトできない事情がある場合は、ArtifactResolutionプロファイルをコメントアウトできない事情がある場合は、signResponses="true"が必要になると思われます。(未確認)

...