[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00401] Re: IdPとのSP接続確認のエラーについて



相本様

松本です。

アドバイスありがとうございます。
まだ、解決に至っておりませんが、
頂いたアドバイスを参考に、2つ、動作を確認してみました。

詳細は、以下に記載しますが、リダイレクトされる際のエンドポイントの
情報を、強制的に「&return=https」にする方法がないかを
引き続き調査したいと思っています。

見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。

■1.ServerNameとUseCanonicalNameの設定による動作確認

 ○実施した設定 
  ServerName 218.44.136.237:443
  UseCanonicalName On

 ○結果
  リダイレクトされる際のURLに下記の変化がありました。
  2つの違いは、「&return=」のパラメータの部分です。
  【設定前】 「&return=http%3A%2F%2F218.44.136.237」
  【設定後】 「&return=http%3A%2F%2F218.44.136.237%3A443」
  ※ServerName で設定した値が反映されているようではありますが、
  いずれの場合も、「&return=」直後の値は、「http」となってしまっています。


  【設定前(URL全体)】
  https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253Af306c79a831e7cf364a515f6edcfb3e98ff49cd0

  【設定後(URL全体)】
  https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%3A443%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253A8fff095cba5021b03a7af111a5d0f9598b89b32d


■2.ロードバランサを介さずに、「http」と「https」でアクセスした場合の
  上記のリダイレクトURLの内容を確認

  念のため、ロードバランサの内側から「https://・・・」でアクセスした場合には、
  リダイレクトが「&return=https」となることを確認しました。

  リクエストURL    ⇒  リダイレクト時のパラメータ(抜粋)
  https://・・・/secure/ ⇒ 「&return=https」
  http://・・・/secure/ ⇒ 「&return=http」


長々と書きましたが、リダイレクト時の「&return=」のパラメータとして
「https」が設定されるようにする方法があるかどうかというところが、調査の
ポイントという認識に至っております。

見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。



----- Original Message ----- From: "AIMOTO NORIHITO" <xxxxxx@xxxxxxxxxxxxx>
To: <xxxxxxxx@xxxxxxxxx>
Cc: "松本 徹也" <xxxxxxxxxx@xxxxxxxxxxxxxxx>
Sent: Monday, October 24, 2011 3:10 PM
Subject: Re: [upki-fed:00398] Re: IdPとのSP接続確認のエラーについて


OSSTech 相本です。

Webサーバーによりますが、ロードバランサにも対応しています。
詳細はこちらにあります。
https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPNoSSL

Apache2.2であれば、ServerNameディレクティブでスキーマを変更します。
# ロードバランサがホストヘッダをIPアドレスにしているようなので
# UseCanonicalNameの設定も必要そうですね。

以上、よろしくお願い致します。


(2011年10月24日 14:52), 松本 徹也 wrote:
山地様 相本様

松本です。
ご確認、ご返信、ありがとうございます。

今更で恐縮ですが、質問させていただた内容に関係が
ありそうでしたので、こちらの環境について、記載させていただきます。

SPを導入したwebサーバの手前に、ロードバランサが存在します。
そのロードバランサがsslアクセラレータの役割りをしております。
そのため、
・クライアント←→ロードバランサ間は、httpsでの通信
・ロードバランサ←→webサーバ間は、httpでの通信
となっています。

クライアントやIdP、DS側から見ると、「https」ですが、
webサーバ側では、「http」と認識しているため、
今回のような状況になっているのでは?との考えに思い至っています。
 ※素人考えですが。

初歩的な質問ですみませんが、
このような環境には対応していないなど、ございましたら
ご教授下さい。

以上、よろしくお願いします。


----- Original Message ----- From: <xxxxxx@xxxxxxxxx>
To: <xxxxxxxx@xxxxxxxxx>
Sent: Monday, October 24, 2011 11:30 AM
Subject: [upki-fed:00392] Re: IdPとのSP接続確認のエラーについて


** On Mon, 24 Oct 2011 11:23:33 +0900
** 松本 徹也 <xxxxxxxxxx@xxxxxxxxxxxxxxx> writes:

こちらでも「shibboleth2.xml」の設定間違いを疑って、検索してみましたが、
このファイル内に、「http://」という記載はどこにも存在していませんでし
た。

シボレスのログインを要求するSPのエンドポイントは、
httpでしょうか?httpsでしょうか?

Best,
--
Kazu