[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00636] Re: 属性値の確認方法ついて
- Subject: [upki-fed:00636] Re: 属性値の確認方法ついて
- Date: Thu, 23 May 2013 18:07:30 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。学認へようこそ。
> opensaml::FatalProfileException at (https://attrviewer20.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
> Unable to establish security of incoming assertion
これはSPが出しているメッセージですが、アサーション(IdPから送られる認
証結果+属性情報)のセキュリティ(つまり正当なものであって改ざんされて
いないこと)が確認できないということで、学認のメタデータに対応する
IdPが存在しない場合などが該当します。
そこで学認のメタデータ[1]を参照しますと、
entityID="https://wagner.isc.chubu.ac.jp/shibboleth/idp" (PI0063JP)
というのが存在します。最後の部分になじみがないのでテストフェデレー
ションのもの[2]を見ると
entityID="https://wagner.isc.chubu.ac.jp/idp/shibboleth" (TI0166JP)
となっています。おそらくこの不一致が、エラーの原因ではないでしょうか。
なお、参加申請のとき使っていただいたと思いますが、登録されているメタ
データの変更にも学認申請システム(運用フェデ用)[3]を使います。
不明な点がありましたらお知らせください。
> https://attrviewer20.gakunin.nii.ac.jp/ では申し込み等が必要なく属性値の確認ができると考えて
> よろしいのでしょうか?
その通りです。学認に参加したらすぐに使えるテスト用SPです。お書きのように
attribute-filter.xmlで属性送信を有効化して、お試しください。
[1] https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml
[2] https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
[3] https://office.gakunin.nii.ac.jp/ProdFed/
(2013/05/23 11:55), 福田 基 wrote:
> はじめまして
>
> 中部大学の福田です。
>
> 5月に運用フェデレーションに参加しましたが、テストフェデレーションから
> 運用フェデレーションへ移行してうまくいきません
>
> メーリングリストの過去ログも同じようなことがないか探しましたが見つかりませんので
> 基本的な勘違いがないかを教えてください。
>
> 学認のWeb情報とおりに行っているつもりで、以下の作業を行いました。
>
> 移行作業
>
> 1.LDAPの変更作業
>
> ・認証するLDAPをテスト用から正式版へ変更
>
> 2.メタデータをテスト版から運用版へ変更
>
> ・conf の relying-party.xml を変更
>
> 3.運用のattribute-filter のテンプレートの更新
>
> ・conf のattribute-filter.xml の変更
>
> 図書館より CUP 、 Springer 、EBSCOhost の電子ジューナルに
> 対応するため、学認のWebを参考に変更しました。
>
> http://www.gakunin.jp/docs/fed/technical/connect/sp
>
> 次のようなエラーメッセージで接続できません。
>
> opensaml::FatalProfileException
>
>
> そこで学認のSpringerのIdP管理者のページを参考に属性値の
> 確認を行うことを確認しましたが
>
> 学認の メンバー > SP接続情報 > Springer(IdP管理者向け)
>
>
> https://attrviewer20.gakunin.nii.ac.jp/Shibboleth.sso/DS?entityID=<IdPのentityID>
> &authnContextClassRef=urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified&authnContextComparison=minimum&target=/Shibboleth.sso/Session
>
> 以下のメッセージで動きません。
>
> opensaml::FatalProfileException
> The system encountered an error at Thu May 23 09:21:43 2013
> To report this problem, please contact the site administrator at root@localhost.
> Please include the following message in any email:
> opensaml::FatalProfileException at (https://attrviewer20.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
> Unable to establish security of incoming assertion
>
> 運用フェデレーションに移行する場合に何か忘れている作業がないか教えてください。
>
> https://attrviewer20.gakunin.nii.ac.jp/ では申し込み等が必要なく属性値の確認ができると考えて
> よろしいのでしょうか?
--
西村健
国立情報学研究所 TEL:03-4212-2890