<div dir="ltr">Hi,<br><br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">canonicalize the subject into after authentication…It's analagous to the X.509 example that pulls data out of the certificate…You can always go poking into the Subject to pull data out of it in the resolver if you have to.<br></blockquote><div class="gmail_extra"><br></div><div class="gmail_extra">The good news: I have this working!<br><br></div><div class="gmail_extra">I'm not sure if I'm doing it the "best" way but basically I edited the c14n configs to put an attribute from the authentication process into the subject then in the resolver wrote some java code to pull it out.<br><br></div><div class="gmail_extra">The one potential issue is that I was intending this to be used for the one SP that uses Password authen (everything else uses RemoteUser). Nothing is broken but I see a lot of <br><br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">WARN [net.shibboleth.idp.authn.impl.AttributeSourcedSubjectCanonicalization:146] - Profile Action AttributeSourcedSubjectCanonicalization: No attributes found, canonicalization not possible<br></blockquote><div><br></div><div>in the logs.<br><br></div><div>I'm guessing this is because the attribute I'm putting in the subject won't be found on many of our regular users? Is there any way to restrict the subject config by either SP or authentication flow?<br><br></div><div>It's not an error so things seem to work, but it's very chatty and I don't want real issues to get buried.<br><br></div><div>Thoughts?<br><br></div><div>Thanks,<br></div><div>Ian<br></div><div><br> <br></div></div></div>