<div class="socmaildefaultfont" dir="ltr" style="font-family:Arial;font-size:10.5pt">
<div dir="ltr">Thank you for the input. I have tried path 3 to change the WantAssertionsSigned but now the sp isn't able to validate my assertion.</div>

<div dir="ltr">Path 1 and 2 isn't an option and the service provider will not change their metadata as I have already asked about that.</div>

<div dir="ltr">Is it possible to get the idp to sign the request instead of the sp and as such get this to work?</div>

<div dir="ltr"> </div>

<div dir="ltr"><font face="Default Sans Serif,Verdana,Arial,Helvetica,sans-serif" size="2">Hälsningar / Best Regards<br>
---------------------------------------------------------------<br>
Johan Romin<br>
<br>
Mobil: 070 795 81 28<br>
E-post: <a href="mailto:johan.romin@egbs.se" target="_blank">johan.romin@egbs.se</a><br>
<br>
egbs consulting ab<br>
Dragarbrunnsgatan 46, SE-753 20 Uppsala<br>
Office: +46 18 470 15 40 Helpdesk: +46 18 10 16 90<br>
<a href="http://www.egbs.se" target="_blank">www.egbs.se</a></font>

<div> </div>

<div> </div>

<blockquote data-history-content-modified="1" style="border-left:solid #aaaaaa 2px; margin-left:5px; padding-left:5px; direction:ltr">----- Ursprungligt meddelande -----<br>
Från: "Rod Widdowson" <rdw@steadingsoftware.com><br>
Skickades av: "users" <users-bounces@shibboleth.net><br>
Till: "'Shib Users'" <users@shibboleth.net><br>
Kopia:<br>
Ärende: RE: Ang.: Re: Unsoclicited SSO questions<br>
Datum: fre 29 maj 2015 10:44<br>
 
<div><font face="Standard Monospace,Courier New,Courier,monospace" size="2">> The service provider metadata SSODescriptior is defined as this:  <md:SPSSODescriptor AuthnRequestsSigned="true"<br>
> WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"><br>
<br>
This is the SP saying "I am the only person who is allowed to solicit SSO, you can tell that it's me because I'll sign the requests".  They cannot tell you this and then say "We will not solicit requests, you have to do that".  It's like saying "Our only contact will be when I phone you so I'm withholding my phone number, but you have to phone me".<br>
<br>
As I see it, technically, you have three solutions:<br>
<br>
1) Obey the SPs commands and not service them.  Probably not a meaningful solution.<br>
<br>
2) Tell the SP that in order to service their requirements you need a copy of their private key so that you can sign the requests.  Yes, this is a tongue in cheek suggestion, but it is a technical solution to the problem (and I fear given the cluefullness displayed by the SP thusfar it might succeed).<br>
<br>
3) Edit the metadata (or better still tell the SP to edit the metadata) to remove the 'WantAssertionsSigned="true"'.  This will be problematic if the metadata is signed, but from what I gather this won't be the case.<br>
<br>
HTH<br>
<br>
/R<br>
<br>
--<br>
To unsubscribe from this list send an email to users-unsubscribe@shibboleth.net</font><br>
 </div>
</blockquote>
</div>
</div>