[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01094] Re: Shibboleth IdPのShibboleth SP化について
- Subject: [upki-fed:01094] Re: Shibboleth IdPのShibboleth SP化について
- Date: Mon, 28 Nov 2016 16:22:40 +0900 (JST)
- From: URA Hiroshi <xxx@xxxxxxxxxx>
株式会社創夢の宇羅です。
>> Mon, 28 Nov 2016 15:47:29 +0900, Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx> said:
> 現在の疑問点は、IdP Bに存在してIdP Aに存在しないユーザを認証させた場合、
> IdP Aで認証エラーが出るのではなく、IdP Aから遷移したIdP AのSP側で、
> 必要な属性が送られていないがゆえのエラーが出てしまうことです。
>
> 私の方でももう少し原因を追ってみますが、これはそういう仕様なのでしょう
> か?
SPに送信する属性をLDAPから取得する構成であれば、LDAPConnectorの
noResultIsErrorをtrueに設定すると、LDAPから属性が取得できないので
エラーになると思います。
設定例は以下の通りです。
<resolver:DataConnector id="myLDAP" xsi:type="dc:LDAPDirectory"
ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}"
baseDN="%{idp.attribute.resolver.LDAP.baseDN}"
principal="%{idp.attribute.resolver.LDAP.bindDN}"
principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}"
useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS:true}"
noResultIsError="true"> <-- 追加
<dc:FilterTemplate>
:
--
宇羅 博志 (URA Hiroshi) / xxx@xxxxxxxxxx
株式会社 創夢 / tel: 03-5453-1251 fax: 03-5453-1252