SPに対してどのような属性が送出されるか確認する方法

attribute-resolver.xmlやattribute-filter.xml等の設定を行ったあと、SPに対してどのような属性が送出されるか確認するためにはShibboleth IdP付属のaacli.shコマンドを利用することができます。

利用方法、及び出力結果の例は以下の通りです。

$ /opt/shibboleth-idp/bin/aacli.sh --principal="ユーザ名" --requester="属性送出を確認したいSPのentityID"

{
"requester": "SPのentityID",
"principal": "ユーザ名",
"attributes": [


  {
    "name": "eduPersonEntitlement",
    "values": [
              "StringAttributeValue{value=XXXXXXXXXXXXXXXXXXX}"          ]
  },  

  {
    "name": "eduPersonTargetedID",
    "values": [
              "XMLObjectAttributeValue{value=org.opensaml.saml.saml2.core.impl.NameIDImpl@b8728d3}"          ]
  },  

  {
    "name": "displayName",
    "values": [
              "StringAttributeValue{value=XXXXXXXXXXXXXXXXXXX}"          ]
  },  

  {
    "name": "eduPersonPrincipalName",
    "values": [
              "ScopedStringAttributeValue{value=ユーザ名, scope=***.ac.jp}"          ]
  }  

]
}

aacli.shコマンドの詳細は --help または -h オプションで確認するか、 https://wiki.shibboleth.net/confluence/display/IDP4/AACLI をご参照ください。

カスタマイズしたNameIDが送信されることを確認するためには、オプション --saml2 もしくは --saml1 を付けて実行してください。JSON形式でなくNameIDを含めた実際のアサーションのXML形式で出力されるようになります。

同様に、EncoderをカスタマイズしてSAML 2.0でのみ、もしくはSAML 1.1のみで属性が送信されることを確認したい場合も、上記オプションをお使いください。