[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00863] ローカルSPとの連携方法について
- Subject: [upki-fed:00863] ローカルSPとの連携方法について
- Date: Fri, 24 Oct 2014 10:09:54 +0900
- From: Satoshi Kurohori <xxxxxxxx@xxxxxxxxxxx>
UPKI-fed ML の皆様
農林水産研究情報総合センターの黒堀です。
ローカルSPとの連携方法について質問をさせてください。
現在、VPN接続用アプライアンス装置の認証を、
Shibboleth連携させる検証を行っているのですが、
「FAILURE: No valid assertion found in SAML response」
とエラー表示されうまく連携できません。
何かお気づきの点があればご教授いただけますでしょうか。
以下詳細を記載させていただきます。
■現状・構成について
・自前でIdP構築し、学認本番Fedへ登録済み
・学認Fed内のいくつかのSPとは連携確認済み
・試行対象VPN装置は、学認Fedに登録はしていません
->そのため「[upki-fed:00775] 学内用SP構築に関する質問」等を参考にさせていただき、
ローカルのメタデータと学認メタデータを参照するよう設定(*1)
■(*1) VPN装置との連携用設定抜粋
1. VPN装置にShibboleth設定(IdPのURL等)を行い、
エクスポートされたメタデータファイルを取得
2.上記メタデータをIdP側に配置
3.relay-parti.xmlに下記追加
#「relying-party.xml」抜粋
<metadata:MetadataProvider
id="ShibbolethMetadata"
xsi:type="metadata:ChainingMetadataProvider">
<metadata:MetadataProvider
id="SSLVPNMD"
xsi:type="metadata:FilesystemMetadataProvider"
metadataFile="/opt/shibboleth-idp/metadata/ssl-vpn-metadata.xml" />
<metadata:MetadataProvider id="URLMD" ~~
■エラー再現までの流れ
1. VPN装置ログイン画面へアクセスするとIdPログイン画面へ遷移
2. IdPへログイン -> 成功
3. VPN装置へリダイレクトされるが、エラーとなる
「FAILURE: No valid assertion found in SAML response」
※エラー自体はVPN装置側が出している
■エラーについて
・IdP側のログではエラーなし
※idp-access.log、idp-process.log、idp-audit.log ともに確認
※Tomcat catalina.out でもエラーなし
・DEBUGレベルでログを記録しており、idp-process.log を見る限り
「Assertion to be encrypted is:」から始まるログに
SP側に(指定した属性値を含む)Assertionを送信しているように見えます。
VPN装置側のサポートにも問い合わせ行っているのですが、
原因解決に至らず、IdP側に問題がないか調べる糸口がつかめればと思い
質問させていただきました。
どうぞよろしくお願いいたします。
//
黒堀 聡志 (xxxxxxxx@xxxxxxxxxxx)
農林水産省 農林水産技術会議事務局 筑波事務所
情報システム課(農林水産研究情報総合センター)
ネットワーク運営係
(305-8601)茨城県つくば市観音台2-1-9
Tel: 029-838-7349 Fax: 029-838-7340