相本様 松本です。 アドバイスありがとうございます。 まだ、解決に至っておりませんが、 頂いたアドバイスを参考に、2つ、動作を確認してみました。 詳細は、以下に記載しますが、リダイレクトされる際のエンドポイントの 情報を、強制的に「&return=https」にする方法がないかを 引き続き調査したいと思っています。 見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。 ■1.ServerNameとUseCanonicalNameの設定による動作確認 ○実施した設定 ServerName 218.44.136.237:443 UseCanonicalName On ○結果 リダイレクトされる際のURLに下記の変化がありました。 2つの違いは、「&return=」のパラメータの部分です。 【設定前】 「&return=http%3A%2F%2F218.44.136.237」 【設定後】 「&return=http%3A%2F%2F218.44.136.237%3A443」 ※ServerName で設定した値が反映されているようではありますが、 いずれの場合も、「&return=」直後の値は、「http」となってしまっています。 【設定前(URL全体)】 https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253Af306c79a831e7cf364a515f6edcfb3e98ff49cd0 【設定後(URL全体)】 https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%3A443%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253A8fff095cba5021b03a7af111a5d0f9598b89b32d ■2.ロードバランサを介さずに、「http」と「https」でアクセスした場合の 上記のリダイレクトURLの内容を確認念のため、ロードバランサの内側から「https://・・・」でアクセスした場合には、
リダイレクトが「&return=https」となることを確認しました。 リクエストURL ⇒ リダイレクト時のパラメータ(抜粋) https://・・・/secure/ ⇒ 「&return=https」 http://・・・/secure/ ⇒ 「&return=http」 長々と書きましたが、リダイレクト時の「&return=」のパラメータとして 「https」が設定されるようにする方法があるかどうかというところが、調査の ポイントという認識に至っております。 見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。----- Original Message ----- From: "AIMOTO NORIHITO" <xxxxxx@xxxxxxxxxxxxx>
To: <xxxxxxxx@xxxxxxxxx> Cc: "松本 徹也" <xxxxxxxxxx@xxxxxxxxxxxxxxx> Sent: Monday, October 24, 2011 3:10 PM Subject: Re: [upki-fed:00398] Re: IdPとのSP接続確認のエラーについて
OSSTech 相本です。 Webサーバーによりますが、ロードバランサにも対応しています。 詳細はこちらにあります。 https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPNoSSL Apache2.2であれば、ServerNameディレクティブでスキーマを変更します。 # ロードバランサがホストヘッダをIPアドレスにしているようなので # UseCanonicalNameの設定も必要そうですね。 以上、よろしくお願い致します。 (2011年10月24日 14:52), 松本 徹也 wrote:山地様 相本様 松本です。 ご確認、ご返信、ありがとうございます。 今更で恐縮ですが、質問させていただた内容に関係が ありそうでしたので、こちらの環境について、記載させていただきます。 SPを導入したwebサーバの手前に、ロードバランサが存在します。 そのロードバランサがsslアクセラレータの役割りをしております。 そのため、 ・クライアント←→ロードバランサ間は、httpsでの通信 ・ロードバランサ←→webサーバ間は、httpでの通信 となっています。 クライアントやIdP、DS側から見ると、「https」ですが、 webサーバ側では、「http」と認識しているため、 今回のような状況になっているのでは?との考えに思い至っています。 ※素人考えですが。 初歩的な質問ですみませんが、 このような環境には対応していないなど、ございましたら ご教授下さい。 以上、よろしくお願いします。 ----- Original Message ----- From: <xxxxxx@xxxxxxxxx> To: <xxxxxxxx@xxxxxxxxx> Sent: Monday, October 24, 2011 11:30 AM Subject: [upki-fed:00392] Re: IdPとのSP接続確認のエラーについて** On Mon, 24 Oct 2011 11:23:33 +0900 ** 松本 徹也 <xxxxxxxxxx@xxxxxxxxxxxxxxx> writes:こちらでも「shibboleth2.xml」の設定間違いを疑って、検索してみましたが、 このファイル内に、「http://」という記載はどこにも存在していませんでし た。シボレスのログインを要求するSPのエンドポイントは、 httpでしょうか?httpsでしょうか? Best, -- Kazu