<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Scott,<br>Thank your for your quick response. I will check with my client on the key.<br><br>Since IDP is initiating the request and sending the SAML response to SP, Shibboleth SP should not send the authenticating request to IDP. Is there any setting to do in the SP?<br><br>Srini<br><br><br><div>> From: cantor.2@osu.edu<br>> To: users@shibboleth.net<br>> Subject: Re: Shibboleth SP configuration for IDP initiated SSO<br>> Date: Wed, 26 Aug 2015 02:53:07 +0000<br>> <br>> On 8/25/15, 10:41 PM, "users on behalf of Sreeni Janapati" <users-bounces@shibboleth.net on behalf of srinij77@hotmail.com> wrote:<br>> <br>> >Here is the configuration change I did in the SP Shibboleth shiboleth2.xml.<br>> ><br>> ><Host name="www.spserver.com"><br>> >                <Path name="user" authType="shibboleth" requireSession="false"/><br>> >            </Host><br>> <br>> I don't know what that has to do with anything, or what change that's supposed to represent. There are no settings in the SP involved to "allow" IdP-initiated SSO.<br>> <br>> >I build the metadata file based on the SAML2 response file provided by the client.<br>> ><br>> >After the above changes,<br>> <br>> What changes?<br>> <br>> > <br>> >When IDP is trying to post the data, then there was an error in the log file "XMLTooling.TrustEngine.PKIX [1]: certificate name was not acceptable"<br>> <br>> Then you didn't build the metadata correctly, or they gave you an incorrect key. The PKIX code isn't needed, you need to put their signing key into the metadata. If you did, then they gave you the wrong key.<br>> <br>> -- Scott<br>> <br>> -- <br>> To unsubscribe from this list send an email to users-unsubscribe@shibboleth.net<br></div>                                     </div></body>
</html>