[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00354] IdP 2.3.0でEZproxyに認証が通らなくなった場合の対処方法



西村です。

IdP 2.3.0のデフォルト設定ファイルでXMLに署名する場所が変わったのは以前
お伝えした通りですが、これがEZproxyで問題を起こすという報告がありました。
アップデート前からの設定ファイルを使っている場合は問題ありません。

上記の問題に当たった場合は、relying-party.xmlを修正してそのSPに対してだけ
以前の設定にするように推奨されています。
--
    <rp:RelyingParty id="https://ezproxy.example.ac.jp/shibboleth-sp"
                     provider="https://idp.example.ac.jp/idp/shibboleth" >
        <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                                 signResponses="conditional"
                                 signAssertions="never" />
    </rp:RelyingParty>
--
のidとproviderを適当に変えて、<rp:RelyingParty>のところ(なければ
</rp:DefaultRelyingParty>の後)に入れると良いのではと思います。

On 2011/06/22, at 19:06, Takeshi NISHIMURA wrote:

> * 2.3.0デフォルト設定 XMLに署名する場所が変わった 認証応答→アサーション
> 設定箇所 relying-party.xmlのSAML2SSOとSAML2ArtifactResolution
> どちらの設定でもShibboleth SPが受け取らないということはないようですが、万が一
> 一部のIdPで認証応答が拒否されるというようなことがあればこの辺を疑ってください。

問題報告および回答:
https://lists.internet2.edu/sympa/arc/shibboleth-users/2011-07/msg00003.html

-- 
西村健
国立情報学研究所 TEL:03-4212-2720