[upki-fed:01094] Re: Shibboleth IdPのShibboleth SP化について

[URA Hiroshi <xxx@xxxxxxxxxx>]

株式会社創夢の宇羅です。

>> Mon, 28 Nov 2016 15:47:29 +0900, Tatsumi Hosokawa <xxxxxxxx@xxxxxxxxxxxxxx> said:

> 現在の疑問点は、IdP Bに存在してIdP Aに存在しないユーザを認証させた場合、
> IdP Aで認証エラーが出るのではなく、IdP Aから遷移したIdP AのSP側で、
> 必要な属性が送られていないがゆえのエラーが出てしまうことです。
> 
> 私の方でももう少し原因を追ってみますが、これはそういう仕様なのでしょう
> か？

SPに送信する属性をLDAPから取得する構成であれば、LDAPConnectorの
noResultIsErrorをtrueに設定すると、LDAPから属性が取得できないので
エラーになると思います。

設定例は以下の通りです。

    <resolver:DataConnector id="myLDAP" xsi:type="dc:LDAPDirectory"
        ldapURL="%{idp.attribute.resolver.LDAP.ldapURL}"
        baseDN="%{idp.attribute.resolver.LDAP.baseDN}"
        principal="%{idp.attribute.resolver.LDAP.bindDN}"
        principalCredential="%{idp.attribute.resolver.LDAP.bindDNCredential}"
        useStartTLS="%{idp.attribute.resolver.LDAP.useStartTLS:true}"
	noResultIsError="true">  <-- 追加
	<dc:FilterTemplate>
	    :
	

--
宇羅 博志 (URA Hiroshi) / xxx@xxxxxxxxxx
株式会社 創夢 / tel: 03-5453-1251 fax: 03-5453-1252