Hej!

Historiskt har en Shibboleth Identity Provider per automatik fått Attribute Authority konfigurerat i sin metadata. Denna inställning ändrades i IdP version 4 där "SAML2.AttributeQuery" och "SAML1.AttributeQuery" kommenterats ut vilket skapar en metadata där AttributeAuthority är utkommenderat och tjänsten är avstängd.

Har en IdP uppgraderats från v3 till v4 är det ett ganska troligt att konfigurationen för detta (conf/relying-party.xml) lämnats orörd och således är AttributeAuthority fortsatt aktiverat. Många av SWAMID registrerade IdPer har kvar AttributeAuthority i sin metadata även om det mest troligt inte används alls (eller till och med avstängt i IdPn).

AttributeAuthority-sektionen i metadatan som är uppladdad till SWAMID innehåller SAML-certifikat som behöver underhållas och hållas giltiga likt övriga certifikat i övriga sektioner. SWAMID Operations uppmanar därför alla IdP-administratörer att slå ett öga på er konfiguration kring AttributeAuthority och samtidigt er metadata. Är AttributeAuthority påslaget och inget som ni vet med er används rekommenderas ni stänga av detta samt vid tillfälle uppdatera er metadata (går enkelt att ta bort via SWAMIDs metadata-verktyg). Är AttributeAuthority avstängt men ni ändå har kvar sektionen i metadatan uppmanas vi er till att när tillfälle ges ta bort sektionen i vårt verktyg.

Shibboleths dokumentation på ämnet finns här:

https://shibboleth.atlassian.net/wiki/spaces/IDP4/pages/1265631691/SAML2AttributeQueryConfiguration

Shibbolethens metadata går att komma åt via en webförfrågan på /idp/shibboleth. Exempel med curl och xmllint:

curl -ks https://idp2.test.inacademia.org/idp/shibboleth | xmllint --format -

I exemplet ovan är AttributeAuthority utkommenderat och tjänsten således avstängd.

-- 
jocar
SWAMID Operations