[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00640] Re: 属性値の確認方法ついて



福田様
西村です。

返答遅れましてすみません。

> opensaml::FatalProfileException at (https://attrviewer20.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
> Message was signed, but signature could not be verified.

これはIdPメタデータに記載されている証明書と、実際にIdPが使用している
証明書が異なる場合に発生します。

前者は、参加申請時に学認申請システムに入力した証明書です。

後者は、学認技術ガイドで言うと
https://www.gakunin.jp/docs/fed/technical/idp/customize/certpj-metadata
にあるようにrelying-party.xmlに設定した証明書です。

ただ、前者についてはテストフェデレーションに登録されている証明書と
同じもののようですので、もし運用フェデレーションに移行するに当たって
IdPの設定を変えていないということであれば別の要因を考えなければ
なりません。

ひとまず上記設定をご確認ください。

(2013/05/29 19:16), 福田 基 wrote:
> 中部大学の福田です。
> 
> 西村さま、返事ありがとうございます。
> 
> (2013/05/23 18:07), Takeshi NISHIMURA wrote:
>> 西村です。学認へようこそ。
>>
>>> opensaml::FatalProfileException at (https://attrviewer20.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
>>> Unable to establish security of incoming assertion
>>
>> これはSPが出しているメッセージですが、アサーション(IdPから送られる認
>> 証結果+属性情報)のセキュリティ(つまり正当なものであって改ざんされて
>> いないこと)が確認できないということで、学認のメタデータに対応する
>> IdPが存在しない場合などが該当します。
>>
>> そこで学認のメタデータ[1]を参照しますと、
>> entityID="https://wagner.isc.chubu.ac.jp/shibboleth/idp" (PI0063JP)
>> というのが存在します。最後の部分になじみがないのでテストフェデレー
>> ションのもの[2]を見ると
>> entityID="https://wagner.isc.chubu.ac.jp/idp/shibboleth" (TI0166JP)
>> となっています。おそらくこの不一致が、エラーの原因ではないでしょうか。
>>
>> なお、参加申請のとき使っていただいたと思いますが、登録されているメタ
>> データの変更にも学認申請システム(運用フェデ用)[3]を使います。
>> 不明な点がありましたらお知らせください。
> 
> 登録時に間違えたようで、早速、アドバイス通りに学認申請システムを用いて修正して
> もらいました。
>   
>>> https://attrviewer20.gakunin.nii.ac.jp/ では申し込み等が必要なく属性値の確認ができると考えて
>>> よろしいのでしょうか?
>>
>> その通りです。学認に参加したらすぐに使えるテスト用SPです。お書きのように
>> attribute-filter.xmlで属性送信を有効化して、お試しください。
> 
> すぐに https://attrviewer20.gakunin.nii.ac.jp/ を確認しましたが、まだエラーで
> 動きません。
> 
> エラーメッセージ
> opensaml::FatalProfileException
> The system encountered an error at Wed May 29 18:39:39 2013
> To report this problem, please contact the site administrator at root@localhost.
> Please include the following message in any email:
> opensaml::FatalProfileException at (https://attrviewer20.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
> Message was signed, but signature could not be verified.
> 
> このエラーはなにかいけないのでしょうか?
> 
>> [1] https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml
>> [2] https://metadata.gakunin.nii.ac.jp/gakunin-test-metadata.xml
>> [3] https://office.gakunin.nii.ac.jp/ProdFed/

-- 
西村健
国立情報学研究所 TEL:03-4212-2890