openid.pape.preferred_auth_policies
以下のリンクで指定されているを返すように Google OpenID を取得しようとしています。
https://developers.google.com/accounts/docs/OpenID#gsa
特に、ポリシーを返してもらいたいのですがhttp://www.idmanagement.gov/schema/2009/05/icam/openid-trust-level1.pdf
、リクエストで何を指定しても、Google はポリシーを返してくれないようです (有効な SSL 証明書を持つホストを使用しています)。私は simpleSAMLphp を使用しており、返されるポリシーを次のように指定しています (また、少なくとも 4 ~ 5 の他の方法も試しました)。
'http://specs.openid.net/extensions/pape/1.0' => array(
'max_auth_age' => 60,
'preferred_auth_policies' => 'http://www.idmanagement.gov/schema/2009/05/icam/openid-trust-level1.pdf',
),
Google へのリクエストは次のようになります。
openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.ns.sreg=http%3A%2F%2Fopenid.net%2Fextensions%2Fsreg%2F1.1&openid.ns.ax=http%3A%2F%2Fopenid.net%2Fsrv%2Fax%2F1.0&openid.ns.ext0=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.ax.mode=fetch_request&openid.ax.type.ext0=http%3A%2F%2Faxschema.org%2FnamePerson%2Ffirst&openid.ax.type.ext1=http%3A%2F%2Faxschema.org%2FnamePerson%2Flast&openid.ax.type.ext2=http%3A%2F%2Faxschema.org%2Fcontact%2Femail&openid.ax.type.ext3=http%3A%2F%2Faxschema.org%2FnamePerson&openid.ax.type.ext4=http%3A%2F%2Faxschema.org%2FnamePerson%2Ffriendly&openid.ax.required=ext0%2Cext1%2Cext2%2Cext3%2Cext4&openid.ext0.max_auth_age=60&openid.ext0.preferred_auth_policies=http%3A%2F%2Fwww.idmanagement.gov%2Fschema%2F2009%2F05%2Ficam%2Fopenid-trust-level1.pdf&openid.realm=https%3A%2F%2Ftw.socialidp.com&openid.mode=checkid_setup&openid.return_to=https%3A%2F%2Ftw.socialidp.com%2Fidp%2Fmodule.php%2Fopenid%2Flinkback.php%3FAuthState%<removed>https%253A%252F%252Ftw.socialidp.com%252Fidp%252Fmodule.php%252Fcore%252Fas_login.php%253FAuthId%253Dgoogleoid2%2526ReturnTo%253Dhttps%25253A%25252F%25252Ftw.socialidp.com%25252Fidp%25252Fmodule.php%25252Fcore%25252Fauthenticate.php%25253Fas%25253Dgoogleoid2%26janrain_nonce%3D2013-02-18T20%253A10%253A30Z3jP9G3&openid.identity=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.claimed_id=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.assoc_handle=<removed>
関連する部分は次のとおりです。
&openid.ext0.preferred_auth_policies=http%3A%2F%2Fwww.idmanagement.gov%2Fschema%2F2009%2F05%2Ficam%2Fopenid-trust-level1.pdf
誰かがそれが正しいかどうかを確認できますか?
また、Google OpenID ページの上記の参照セクションの下部に、Google は次のように述べています。
http://www.idmanagement.gov/schema/2009/05/icam/openid-trust-level1.pdf を含めるには、認証が OpenID の GSA プロファイルのセキュリティ要件に準拠していることを Google が主張する必要があります。これらのセキュリティ機能は、この特定のポリシー URL が含まれているかどうかに関係なく、すべての Google 認証フローでデフォルトで提供されます。
読んだところ、OpenID を使用したすべての AuthN 試行が LOA1 であると盲目的に想定できるように思われ、Google からこのアサーションを実際に取得する必要は実際にはありません。それは正しい仮定ですか?