[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00359] Re: IdP 2.3.0でEZproxyに認証が通らなくなった場合の対処方法



西村です。

IdP 2.3とEZproxyで問題が起きる(デフォルト設定ファイルを使った場合)
場合の対処法について、ShibbolethのMLで実際に動作する例が挙げられてい
ましたので転載します。

-----------------------8<-----------------------------

    <rp:RelyingParty id="### EZProxy entityID ###"
                provider="### IdP entityID ###"
                defaultSigningCredentialRef="IdPCredential">
        <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
                                encryptAssertions="never"
                                encryptNameIds="always"
                                signResponses="always"/>
    </rp:RelyingParty>

-----------------------8<-----------------------------

http://groups.google.com/group/shibboleth-users/browse_thread/thread/18e99067c01db354/a5a10a562e623380


(2011/07/02 0:34), Takeshi NISHIMURA wrote:
> 西村です。
> 
> IdP 2.3.0のデフォルト設定ファイルでXMLに署名する場所が変わったのは以前
> お伝えした通りですが、これがEZproxyで問題を起こすという報告がありました。
> アップデート前からの設定ファイルを使っている場合は問題ありません。
> 
> 上記の問題に当たった場合は、relying-party.xmlを修正してそのSPに対してだけ
> 以前の設定にするように推奨されています。
> --
>      <rp:RelyingParty id="https://ezproxy.example.ac.jp/shibboleth-sp"
>                       provider="https://idp.example.ac.jp/idp/shibboleth">
>          <rp:ProfileConfiguration xsi:type="saml:SAML2SSOProfile"
>                                   signResponses="conditional"
>                                   signAssertions="never" />
>      </rp:RelyingParty>
> --
> のidとproviderを適当に変えて、<rp:RelyingParty>のところ(なければ
> </rp:DefaultRelyingParty>の後)に入れると良いのではと思います。
> 
> On 2011/06/22, at 19:06, Takeshi NISHIMURA wrote:
> 
>> * 2.3.0デフォルト設定 XMLに署名する場所が変わった 認証応答→アサーション
>> 設定箇所 relying-party.xmlのSAML2SSOとSAML2ArtifactResolution
>> どちらの設定でもShibboleth SPが受け取らないということはないようですが、万が一
>> 一部のIdPで認証応答が拒否されるというようなことがあればこの辺を疑ってください。
> 
> 問題報告および回答:
> https://lists.internet2.edu/sympa/arc/shibboleth-users/2011-07/msg00003.html

-- 
西村健
国立情報学研究所 TEL:03-4212-2720