Ok, eu mesmo entendi. Basicamente, você pode adicionar o atributo requireSession
ao atributo Host
, eles são manipulados globalmente e os atributos Path
estão lá para sobrescrever o comportamento global, como desativar a autenticação shibboleth em exception/
requests.
<RequestMapper type="Native">
<RequestMap applicationId="default">
<Host name="mydomain" authType="shibboleth" requireSession="true" redirectToSSL="443">
<Path name="exception" requireSession="false" />
</Host>
</RequestMap>
</RequestMapper>
Espero que isso ajude outras pessoas também. Corrija-me se a minha explicação estiver errada.