[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00792] Filter Per SP (FPSP) の動作に関する質問



慶應義塾ITC本部の細川です。

現在、

https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158554

のFilter Per SP (FPSP)をテストしており、一応動作はするようになったのですが、
これで属性送信を一旦拒否された場合、それ以降その他のSPにSSOする際も、
全て拒否されるようになってしまっています。

ブラウザを再起動すればまた他サービスにはログインできるのですが、
これはそのような仕様なのでしょうか?

現在のSampleFilterPerSP_allow.xmlの内容は、

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE EntitiesDescriptor [
    <!ELEMENT EntitiesDescriptor (EntityDescriptor+)>
    <!ELEMENT EntityDescriptor   (Attribute+)>
    <!ELEMENT Attribute          (#PCDATA)>

    <!ATTLIST EntityDescriptor   entityID    CDATA #REQUIRED>
    <!ATTLIST Attribute          attributeID CDATA #REQUIRED>
]>

<EntitiesDescriptor>
  <EntityDescriptor entityID="https://testsp1.itc.keio.ac.jp/shibboleth-sp">
    <Attribute attributeID="eduPersonAffiliation">
       student
    </Attribute>
  </EntityDescriptor>
</EntitiesDescriptor>

となっており、 https://testsp1.itc.keio.ac.jp/ へのログインは、
私のeduPersonAffiliationがstaff;memberなので拒絶されます。

ここまではいいのですが、その後他のSPに接続する際も、

Deny you(xxxxxxxx@xxxxxxxxxx) login to Service Provider https://testsp1.itc.keio.ac.jp/shibboleth-sp

のメッセージがブラウザに表示され、拒絶されてしまいます。
ここで、testsp1.itc.keio.ac.jpにアクセスする前であれば、
他のサービスにも問題なくログインできます。


idp-process.logには何も表示されないのですが、catalina.outには次のようなエラーが出ます。

1. まず最初に https://testsp1.itc.keio.ac.jp にアクセスした時

SampleFilterPerSP spEntityId = https://testsp1.itc.keio.ac.jp/shibboleth-sp
SampleFilterPerSP don't match any attributes.
SampleFilterPerSP   eduPersonAffiliation=member
SampleFilterPerSP   eduPersonAffiliation=staff
SampleFilterPerSP   eduPersonPrincipalName=xxxxxxxxxxx@xxxxxxxxxx
SampleFilterPerSP   transientId=xxxxxxxxxxxx

2. その後 https://security-learning.nii.ac.jp にアクセスした時

SampleFilterPerSP spEntityId = https://testsp1.itc.keio.ac.jp/shibboleth-sp
SampleFilterPerSP don't match any attributes.
SampleFilterPerSP   eduPersonAffiliation=member
SampleFilterPerSP   eduPersonAffiliation=staff
SampleFilterPerSP   eduPersonPrincipalName=xxxxxxxxxxx@xxxxxxxxxx
SampleFilterPerSP   transientId=xxxxxxxxxxxx

3. ブラウザを再起動して https://security-learning.nii.ac.jp にアクセスした時(問題なくログインできます)
SampleFilterPerSP spEntityId = https://security-learning.nii.ac.jp/shibboleth-sp
SampleFilterPerSP spEntityId = https://security-learning.nii.ac.jp/shibboleth-sp


1,2のエラーは全く同一です。このような状況なのですが、どなたかFPSPを利用されている方、
これが異常な動作なのかどうか教えていただけますでしょうか?

よろしくお願いします。

-- 
慶應義塾ITC本部  細川達己  xxxxxxxx@xxxxxxxxxxxxxx
Tel. 03-5427-1685  Fax. 03-5427-1722