学認が提供しているattribute-filter.xmlのテンプレートでは以下のように Transient ID に関してすべてのSPに対して送出するようなっていますが、なんらかの理由で送出しない設定にしている場合はSpringer向けに Transient ID の送出設定を追加してください。
SpringerはentityIDを見ているため属性情報の送出は不要です。しかし、SpringerではTransient IDが送出されない場合にはIdPでの認証後に以下のようにエラーとなることがわかっています。
学認が提供しているattribute-filter.xmlのテンプレートでは以下のように Transient ID に関してすべてのSPに対して送出するようなっていますが、なんらかの理由で送出しない設定にしている場合はSpringer向けに Transient ID の送出設定を追加してください。
<!-- Release the transient ID to anyone -->
<afp:AttributeFilterPolicy id="releaseTransientIdToAnyone">
<afp:PolicyRequirementRule xsi:type="basic:ANY" />
<afp:AttributeRule attributeID="transientId">
<afp:PermitValueRule xsi:type="basic:ANY" />
</afp:AttributeRule>
</afp:AttributeFilterPolicy>
IdPが有効期限切れの証明書をアサーションの署名に使っているとエラーになることが確認されていますので、期限内にメタデータ記載の証明書更新手順(IdP)の手順に従って証明書を更新するようご注意ください。
なお、以前はIdPのメタデータに複数の証明書が記載されている場合にエラーとなっていましたが、現在はこの問題は解消されていることが確認できています。
また、IdPが生成するアサーションに含まれるAuthentication Context Class (Authentication Method)にも制限があります。技術ガイドに沿って構築したIdPであれば問題ありません(PasswordProtectedTransport になります)が、この部分をカスタマイズしている場合はご注意ください。
Authentication Context Classを確認するには、以下のURLの <IdPのentityID> の部分をご自身のIdPに変更してアクセスし、認証してください。
https://attrviewer20.gakunin.nii.ac.jp/Shibboleth.sso/DS?entityID=<IdPのentityID>&authnContextClassRef=urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified&authnContextComparison=minimum&target=/Shibboleth.sso/Session
そうするとAuthentication Context Classが以下のような形で表示されます。
Authentication Context Class: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
この値が以下の値以外の場合、Springerでは上記と同じエラーが表示されます。