[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [upki-fed:13] Re: Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）

Subject: Re: [upki-fed:13] Re: Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）
Date: Thu, 15 Jun 2023 08:34:34 +0000
From: 中村　誠 <xxxxxxxxxxxxxxx@xxxxxxxxxxxxxxxxxx>

斎藤

東京大学の中村です。
ソースを流し読みしてみましたが4.0と4.1で属性の指定方法が変わったようですが基本的な流れは変わらないようです。
手順に書いてある設定に漏れがないか（コメントアウトの解除忘れがないかなど）を確認すると良いのだと思います。

なお idp.loglevel.spring という値を変えるとdebugできるのかもしれません。

--
https://auth.axies.jp/  # よければAXIES認証基盤部会ものぞいてみてください


________________________________________
From: Saito Hironobu <xxxxxx@xxxxxxxxxxxxxxxxxxxx>
Sent: Monday, June 12, 2023 17:56
To: xxxxxxxx@xxxxxxxxx
Subject: [upki-fed:11] Re: Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）

埼玉大学の斎藤です。

中田様、ご教示ありがとうございます。

ブラウザに SAML Tracer を入れましたところ、ブラウザには SAML response
が期待通りに返っていることはわかりました。
あとは IdP において 下記の NameID の値が $resolutionContext.principal
に代入されるのが期待されるのですが、そう動作していないという状態です。

ブラウザでキャッチした SAML response だけ、以下に記載しておきます。
--（ここから）--
(snip)
--（ここまで）--


Hisaho Nakata wrote on 2023/06/11 13:16:
> Web Browser に SAML Tracer 入れれば、SAML Responce  の内容を確認できます。
>
>
>
>
>
> 日本マイクロソフト株式会社
>
> 中田寿穂
>
>
> ________________________________
> 差出人: Saito Hironobu <xxxxxx@xxxxxxxxxxxxxxxxxxxx>
> 送信日時: 2023年6月9日 17:36
>
>
> 埼玉大学の斎藤と申します。
>
> Shibboleth IdP に多要素認証を導入したく、Azure AD proxy
> をやりたいと思い試行錯誤しています。
>
> 学認Webサイトの下の記事を拝見し、
> 東京大学様の試行事例がありましたのでそれにならって設定したのですが、おそらくは大変初歩的なところでつまづいています。
>
> 同様のことを試された方、お知恵をいただけますと幸いでございます。
>
> ■参照した資料
> NIIオープンフォーラム2022発表資料
> → "Using SAML Proxying in the Shibboleth IdP to connect with Azure AD"
>
> ■起きている現象
> 上記を参照して設定を行った結果、
> ○Azure AD認証は通った。
> ○次の LDAP 問い合わせのステップで、エラー "opensaml::FatalProfileException"
> →idp.loglevel.ldap=DEBUG に設定して DEBUGログを調べたところ、
> 　LDAP問い合わせフィルタが filter='(id=$resolutionContext.principal)'
> 　つまり $resolutionContext.principal
> がユーザ名に置き換わらず、そのままLDAPサーバへ問い合わせていた。
>
> ■知りたいこと
> ○Azure ADから返される SAML
> レスポンスの内容を確認したいのですが、ログに出力するなどの方法はありますでしょうか。
> ○上記のように置き換わらない原因わかる方がもしもいらっしゃいましたら、教えてください。
>
> ■前提などの補足
> ○当Shibboleth IdP の最初のインストールバージョンは Shibboleth 4.1.4 。
> 　現在のバージョンは 4.3.1
> ○上記の「参照した資料」は V4.0 系が前提のようで一部設定が異なったため、
> 　実際は下記の資料にしたがって設定を行っている。
> 　"Example procedure for adding O365 authentication to Shibboleth"

-- 

--- 
このグループから退会し、グループからのメールの配信を停止するには xxxxxxxxxxxxxxxxxxxx@xxxxxxxxx にメールを送信してください。

Follow-Ups:
- [upki-fed:14] Re: Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）
  - From: Saito Hironobu

References:
- [upki-fed:10] Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）
  - From: Saito Hironobu
- [upki-fed:11] Re: Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）
  - From: Saito Hironobu

Prev by Date: [upki-fed:12] 【注意喚起】Shibboleth SP関連の脆弱性について(2023/6/12付アドバイザリ)
Next by Date: [upki-fed:14] Re: Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）
Previous by thread: [upki-fed:11] Re: Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）
Next by thread: [upki-fed:14] Re: Shibboleth IdP への Azure AD proxy 設定（東京大学様の事例を参考に）
Index(es):
- Date
- Thread