[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01374] 学認接続テスト時のエラーについて



お世話になります。
美作大学 藤田と申します。

IdPのテストで以下の事象が発生し対応について苦慮しています。

テストフェデレーションのtest-sp1に接続するとログインは可能ですが、属性値が
全て NOR RECEVED となります。
/opt/shibboleth-idp/logs/idp-process.log には以下のエラーが記録されています。
2020-12-24 11:24:53,308 - 192.168.10.201 - INFO [net.shibboleth.idp.authn.impl.LDAPCredentialValidator:145] - Credential Validator ldap: Login by 'test001' succeeded
2020-12-24 11:24:53,316 - 192.168.10.201 - ERROR [net.shibboleth.idp.profile.impl.ResolveAttributes:276] - Profile Action ResolveAttributes: Error resolving attributes: Invalid Attribute resolver configuration
2020-12-24 11:24:53,320 - 192.168.10.201 - WARN [net.shibboleth.idp.consent.flow.ar.impl.AbstractAttributeReleaseAction:154] - Profile Action PopulateAttributeReleaseContext: Unable to locate attribute context

恐らく/opt/shibboleth-idp/conf/attribute-resolver.xml の記述に問題があるの
ではと推測していますが、以下の項目について設定をどうすべきかが不明です。

構築ガイド 「attribute-resolver.xml ファイルの変更(IdPv4)」
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=20021642
に記載されている、下記の部分についてはどのセクションにどのように設定すべき
でしょうか?

> <AttributeDefinition xsi:type="Scoped" id="eduPersonPrincipalName" scope="%{idp.scope}">
>           ← scopeはidp.propertiesを参照するので設定不要です。
>              sourceAttributeIDにLDAP内の属性名を設定します。

また、IdP側の問題に起因するものかも知れませんが、SPの接続テストを行うと
ログイン後に以下のエラー表示となります。
opensaml::FatalProfileException
The system encountered an error at Thu Dec 24 11:37:23 2020
To report this problem, please contact the site administrator at root@localhost.
Please include the following message in any email:
opensaml::FatalProfileException at (https://sp.mimasaka.ac.jp/Shibboleth.sso/SAML2/POST)
A valid authentication statement was not found in the incoming message.

属性受信の確認ページで確認すると、以下のエラーが表示される状態です。
> 注意:属性値にセミコロンが含まれているためSPによっては正しく動作しない可能性があります

> '; } function warning_value($attr_value = ''){ if (strpos($attr_value, '\;') !== FALSE) print '
> 警告:属性値にセミコロンが含まれているため正しくありません

> 警告:メタデータで定義されているスコープと送出された属性のスコープが一致していないか、利用できる属性値ではありません。
> '; print '(送出された属性値は' . $ea_attr_value . 'でした。)

以上 よろしくお願いします

--------------------
美作大学 学修・学術情報センター
藤田 峰之