...
- IdPメタデータの
<AttributeService>
のLocation
属性からポート 8443を削除した上で、学認申請システムからテンプレート外メタデータとして変更申請を行います。コード ブロック language diff title IdPメタデータ <AttributeService Binding="urn:oasis:names:tc:SAML:1.0:bindings:SOAP-binding" - Location="https://idp.example.ac.jp:8443/idp/profile/SAML1/SOAP/AttributeQuery"/> + Location="https://idp.example.ac.jp/idp/profile/SAML1/SOAP/AttributeQuery"/> <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" - Location="https://idp.example.ac.jp:8443/idp/profile/SAML2/SOAP/AttributeQuery"/> + Location="https://idp.example.ac.jp/idp/profile/SAML2/SOAP/AttributeQuery"/> <NameIDFormat>urn:mace:shibboleth:1.0:nameIdentifier</NameIDFormat>
- SAML1.AttributeQueryプロファイル、およびSAML2.AttributeQueryプロファイルでSAMLアサーションを署名するために、
signResponses="true"
を設定します。
同じくBack-Channelを利用するSAML1.ArtifactResolutionプロファイル、SAML2.ArtifactResolutionプロファイルは、学認申請システムが生成したメタデータを利用していた機関はコメントアウトして大丈夫です。コード ブロック language diff title /opt/shibboleth-idp/conf/relying-party.xml <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty"> <property name="profileConfigurations"> <list> <!-- SAML 1.1 and SAML 2.0 AttributeQuery are disabled by default. --> <!-- --> <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" /> - <ref bean="SAML1.AttributeQuery" /> + <bean parent="SAML1.AttributeQuery" p:signResponses="true" /> <ref bean="SAML1.ArtifactResolution" /> <!-- --> <bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release" /> <ref bean="SAML2.ECP" /> <ref bean="SAML2.Logout" /> <!-- --> - <ref bean="SAML2.AttributeQuery" /> + <bean parent="SAML2.AttributeQuery" p:signResponses="true" /> <!-- --> <ref bean="SAML2.ArtifactResolution" /> </list> </property> </bean>
SAML1.ArtifactResolutionプロファイル、SAML2.ArtifactResolutionプロファイルがコメントアウトできない事情がある場合は、ArtifactResolutionプロファイルをコメントアウトできない事情がある場合は、signResponses="true"
が必要になると思われます。(未確認)
...