[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00404] Re: IdPとのSP接続確認のエラーについて



OSSTech 相本です。

認証成功したようで良かったです。

一点、訂正させてください。
「スキーマ」と書いてましたが、正しくは「スキーム」でした。
混乱させてしまっていたら、申し訳ありませんでした。

以上、よろしくお願い致します。


(2011年10月26日 13:07), 松本 徹也 wrote:
> 相本様
> 
> 松本です。
> 
> ご指導ありがとうございます。
> 
> ひとまず、認証に成功し、属性情報が受け取れるようになりました。
> 
> ありがとうございました。
> 今後ともよろしくお願い致します。
> 
> 以上。
> 
> ----- Original Message ----- From: "AIMOTO NORIHITO" <xxxxxx@xxxxxxxxxxxxx>
> To: <xxxxxxxx@xxxxxxxxx>
> Cc: "松本 徹也" <xxxxxxxxxx@xxxxxxxxxxxxxxx>
> Sent: Tuesday, October 25, 2011 6:12 PM
> Subject: [upki-fed:00402] Re: IdPとのSP接続確認のエラーについて
> 
> 
>> OSSTech 相本です。
>>
>> Apacheの設定がそれではhttpになってしまいますね。
>> ServerNameのポート番号に443をセットするのではなく、スキーマを書いてあげ
>> ます。
>>
>> ServerName https://example.co.jp:443
>> UseNanonicalName On
>>
>> # ServerNameをIPアドレスで書かれていますけど、443のポートを書くべきかを
>> 含めて
>> # Apacheの「ServerName」と「UseCanonicalName」ディレクティブの意味を
>> # 理解しておいた方が良いかなと思います。
>>
>> 以上、よろしくお願い致します。
>>
>>
>> (2011年10月25日 17:47), 松本 徹也 wrote:
>>> 相本様
>>>
>>> 松本です。
>>>
>>> アドバイスありがとうございます。
>>> まだ、解決に至っておりませんが、
>>> 頂いたアドバイスを参考に、2つ、動作を確認してみました。
>>>
>>> 詳細は、以下に記載しますが、リダイレクトされる際のエンドポイントの
>>> 情報を、強制的に「&return=https」にする方法がないかを
>>> 引き続き調査したいと思っています。
>>>
>>> 見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。
>>>
>>> ■1.ServerNameとUseCanonicalNameの設定による動作確認
>>>
>>>  ○実施した設定 
>>>   ServerName 218.44.136.237:443
>>>   UseCanonicalName On
>>>
>>>  ○結果
>>>   リダイレクトされる際のURLに下記の変化がありました。
>>>   2つの違いは、「&return=」のパラメータの部分です。
>>>   【設定前】 「&return=http%3A%2F%2F218.44.136.237」
>>>   【設定後】 「&return=http%3A%2F%2F218.44.136.237%3A443」
>>>   ※ServerName で設定した値が反映されているようではありますが、
>>>   いずれの場合も、「&return=」直後の値は、「http」となってしまっていま
>>> す。
>>>
>>>
>>>   【設定前(URL全体)】
>>>   
>>> https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253Af306c79a831e7cf364a515f6edcfb3e98ff49cd0
>>>
>>>
>>>
>>>   【設定後(URL全体)】
>>>   
>>> https://test-ds.gakunin.nii.ac.jp/WAYF?entityID=https%3A%2F%2F218.44.136.237%2Fshibboleth-sp&return=http%3A%2F%2F218.44.136.237%3A443%2FShibboleth.sso%2FDS%3FSAMLDS%3D1%26target%3Dss%253Amem%253A8fff095cba5021b03a7af111a5d0f9598b89b32d
>>>
>>>
>>>
>>>
>>> ■2.ロードバランサを介さずに、「http」と「https」でアクセスした場合の
>>>   上記のリダイレクトURLの内容を確認
>>>
>>>   念のため、ロードバランサの内側から「https://・・・」でアクセスした場
>>> 合には、
>>>   リダイレクトが「&return=https」となることを確認しました。
>>>
>>>   リクエストURL    ⇒  リダイレクト時のパラメータ(抜粋)
>>>   https://・・・/secure/ ⇒ 「&return=https」
>>>   http://・・・/secure/ ⇒ 「&return=http」
>>>
>>>
>>> 長々と書きましたが、リダイレクト時の「&return=」のパラメータとして
>>> 「https」が設定されるようにする方法があるかどうかというところが、調査の
>>> ポイントという認識に至っております。
>>>
>>> 見当違いな点など、ご指摘、アドバイスなどいただけると幸いです。
>>>
>>>
>>>
>>> ----- Original Message ----- From: "AIMOTO NORIHITO"
>>> <xxxxxx@xxxxxxxxxxxxx>
>>> To: <xxxxxxxx@xxxxxxxxx>
>>> Cc: "松本 徹也" <xxxxxxxxxx@xxxxxxxxxxxxxxx>
>>> Sent: Monday, October 24, 2011 3:10 PM
>>> Subject: Re: [upki-fed:00398] Re: IdPとのSP接続確認のエラーについて
>>>
>>>
>>>> OSSTech 相本です。
>>>>
>>>> Webサーバーによりますが、ロードバランサにも対応しています。
>>>> 詳細はこちらにあります。
>>>> https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPNoSSL
>>>>
>>>> Apache2.2であれば、ServerNameディレクティブでスキーマを変更します。
>>>> # ロードバランサがホストヘッダをIPアドレスにしているようなので
>>>> # UseCanonicalNameの設定も必要そうですね。
>>>>
>>>> 以上、よろしくお願い致します。
>>>>
>>>>
>>>> (2011年10月24日 14:52), 松本 徹也 wrote:
>>>>> 山地様 相本様
>>>>>
>>>>> 松本です。
>>>>> ご確認、ご返信、ありがとうございます。
>>>>>
>>>>> 今更で恐縮ですが、質問させていただた内容に関係が
>>>>> ありそうでしたので、こちらの環境について、記載させていただきます。
>>>>>
>>>>> SPを導入したwebサーバの手前に、ロードバランサが存在します。
>>>>> そのロードバランサがsslアクセラレータの役割りをしております。
>>>>> そのため、
>>>>> ・クライアント←→ロードバランサ間は、httpsでの通信
>>>>> ・ロードバランサ←→webサーバ間は、httpでの通信
>>>>> となっています。
>>>>>
>>>>> クライアントやIdP、DS側から見ると、「https」ですが、
>>>>> webサーバ側では、「http」と認識しているため、
>>>>> 今回のような状況になっているのでは?との考えに思い至っています。
>>>>>  ※素人考えですが。
>>>>>
>>>>> 初歩的な質問ですみませんが、
>>>>> このような環境には対応していないなど、ございましたら
>>>>> ご教授下さい。
>>>>>
>>>>> 以上、よろしくお願いします。
>>>>>
>>>>>
>>>>> ----- Original Message ----- From: <xxxxxx@xxxxxxxxx>
>>>>> To: <xxxxxxxx@xxxxxxxxx>
>>>>> Sent: Monday, October 24, 2011 11:30 AM
>>>>> Subject: [upki-fed:00392] Re: IdPとのSP接続確認のエラーについて
>>>>>
>>>>>
>>>>>> ** On Mon, 24 Oct 2011 11:23:33 +0900
>>>>>> ** 松本 徹也 <xxxxxxxxxx@xxxxxxxxxxxxxxx> writes:
>>>>>>
>>>>>>> こちらでも「shibboleth2.xml」の設定間違いを疑って、検索してみました
>>>>>>> が、
>>>>>>> このファイル内に、「http://」という記載はどこにも存在していません
>>>>>>> でし
>>>>>>> た。
>>>>>>
>>>>>> シボレスのログインを要求するSPのエンドポイントは、
>>>>>> httpでしょうか?httpsでしょうか?
>>>>>>
>>>>>> Best,
>>>>>> -- 
>>>>>> Kazu
>>>>>>
>>>>>
>>>>>
>>>>
>>>>
>>>
>>>
>>
>>
> 
>