我帮你梳理下这个问题的排查和解决思路——毕竟在高校Shibboleth环境里拿院系信息确实是个常见的坑，我之前也碰到过类似情况：

首先，你踩了一个低级但致命的坑：给两个<Attribute>标签都设置了相同的id="affiliation"，Shibboleth SP不允许重复的属性ID，这会导致其中一个（甚至两个）的映射直接失效。先把这个问题改了再说！

接下来分步骤排查：

1. 先确认IDP到底有没有发送目标属性 #

这是最常见的原因——SP配置得再完美，IDP没把属性发过来都是白搭。你可以这么做：

• 打开Shibboleth的调试日志，查看SAML响应里的属性内容。在shibboleth2.xml里调整日志级别：

  <Logging>
    <RequestLogger type="File" filename="logs/transaction.log" level="DEBUG"/>
    <Logger type="File" filename="logs/shibd.log" level="DEBUG"/>
  </Logging>
  

  重启shibd服务后，登录一次，然后去看transaction.log或者shibd.log里的SAML断言部分，找有没有urn:mace:dir:attribute-def:eduPersonScopedAffiliation或者对应的OID属性。
• 用shibd -t命令验证你的SP配置文件语法是否正确，避免XML格式错误导致的配置失效。

2. 修正属性映射配置 #

其实eduPersonScopedAffiliation的MACE标识和OID是同一个属性的两种命名方式，你根本没必要重复配置，选一个就行，而且要保证ID唯一。比如：

<!-- 用MACE标识的配置，ID设为唯一的eduPersonScopedAffiliation -->
<Attribute name="urn:mace:dir:attribute-def:eduPersonScopedAffiliation" id="eduPersonScopedAffiliation">
  <AttributeDecoder xsi:type="ScopedAttributeDecoder" caseSensitive="false"/>
</Attribute>

或者用OID版本的，二选一即可。这里的id是你后续在应用里引用这个属性的名称，比如PHP里可以用$_SERVER['eduPersonScopedAffiliation']来获取。

3. 重点：确认IDP侧的属性释放规则 #

高校的IDP一般都有严格的属性释放策略——哪怕你SP请求了某个属性，IDP也可能只给特定的SP授权释放。而且这里有个关键点：eduPersonScopedAffiliation通常表示的是用户的身份类型（比如student@xxx.edu、faculty@xxx.edu），不一定包含具体的院系信息！很多高校会用自定义属性（比如department、orgUnit或者他们自己定义的OID属性）来存储院系信息。

所以这一步你大概率需要联系学校的IDP管理员：

• 确认他们用来存储院系信息的具体属性名称/OID是什么；
• 确认你的SP是否被授权获取这个属性；
• 如果用的是eduPersonScopedAffiliation，确认他们是否把院系信息嵌入到了这个属性里（有些学校会这么做，但不是标准用法）。

4. 验证属性是否能被获取 #

配置修正后，重启shibd服务（比如systemctl restart shibd），然后访问SP的测试页面（一般是https://你的SP域名/Shibboleth.sso/Session），登录后查看返回的属性列表，确认目标属性是否存在。

内容的提问来源于stack exchange，提问作者gabriele.taibi