[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00864] Re: ローカルSPとの連携方法について

Subject: [upki-fed:00864] Re: ローカルSPとの連携方法について
Date: Fri, 24 Oct 2014 10:36:03 +0900
From: OSWS牟田口満 <xxxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx>

農林水産研究情報総合センター 黒堀さま

オープンソース・ワークショップの牟田口です。

ちょっと調べてみました。
VPS製品を扱っているJuniperに、こんな記事がありました。
参考になれば幸いです。

http://forums.juniper.net/t5/SSL-VPN/SAML-Transfer-failed-FAILURE-No-valid-assertion-found-in-SAML/td-p/163828
（抜粋）
I had this exact same problem. I fixed it by setting the "Allowed Clock Skew (minutes)" in the auth server settings to 10 minutes.
⇒Allowed Clock Skew (minutes)を１０分に設定したらなおったよ。


http://www.juniper.net/techpubs/en_US/sa7.4/topics/task/configuration/secure-access-saml20-service-provider-configuring.html
（自動翻訳の抜粋）
---
Allowed Clock Skew (minutes)
---
セキュアアクセスサービスクロックとSAMLアイデンティティプロバイダサーバclock.Note間の時間の最大許容差が指定します。
SAMLは、時間に敏感なプロトコルです。 SAMLアサーションの時間ベースの有効性は、SAML IDプロバイダによって決定されます。
SAMLのIDプロバイダとSAMLサービスプロバイダクロックが斜めにしている場合、アサーションは無効と判断することができるし、次のエラーが表示されます。

"SAML Transferred failed. Please contact your system administrator. Detail: Failure: No valid assertion found in SAML response."

私たちは、あなたが同期しているクロックを確実にするために、NTPを使用し、あらゆる予想されるか、許容スキューを収納可クロックスキュー値を設定することをお勧めします。



On 2014/10/24 10:09, Satoshi Kurohori wrote:

UPKI-fed ML の皆様

農林水産研究情報総合センターの黒堀です。

ローカルSPとの連携方法について質問をさせてください。

現在、VPN接続用アプライアンス装置の認証を、
Shibboleth連携させる検証を行っているのですが、
「FAILURE: No valid assertion found in SAML response」
とエラー表示されうまく連携できません。

何かお気づきの点があればご教授いただけますでしょうか。

以下詳細を記載させていただきます。

■現状･構成について
・自前でIdP構築し、学認本番Fedへ登録済み
・学認Fed内のいくつかのSPとは連携確認済み
・試行対象VPN装置は、学認Fedに登録はしていません
　->そのため「[upki-fed:00775] 学内用SP構築に関する質問」等を参考にさせていただき、
　　ローカルのメタデータと学認メタデータを参照するよう設定(*1)

■(*1) VPN装置との連携用設定抜粋

1. VPN装置にShibboleth設定（IdPのURL等）を行い、
　エクスポートされたメタデータファイルを取得
2.上記メタデータをIdP側に配置
3.relay-parti.xmlに下記追加

＃「relying-party.xml」抜粋

<metadata:MetadataProvider
     id="ShibbolethMetadata"
     xsi:type="metadata:ChainingMetadataProvider">

      <metadata:MetadataProvider
           id="SSLVPNMD"
           xsi:type="metadata:FilesystemMetadataProvider"
           metadataFile="/opt/shibboleth-idp/metadata/ssl-vpn-metadata.xml"  />

      <metadata:MetadataProvider id="URLMD"　～～


■エラー再現までの流れ
1. VPN装置ログイン画面へアクセスするとIdPログイン画面へ遷移
2. IdPへログイン -> 成功
3. VPN装置へリダイレクトされるが、エラーとなる
　　「FAILURE: No valid assertion found in SAML response」
　　※エラー自体はVPN装置側が出している

■エラーについて
・IdP側のログではエラーなし
　※idp-access.log、idp-process.log、idp-audit.log　ともに確認
　※Tomcat catalina.out でもエラーなし
・DEBUGレベルでログを記録しており、idp-process.log　を見る限り
　「Assertion to be encrypted is:」から始まるログに
　SP側に（指定した属性値を含む）Assertionを送信しているように見えます。


VPN装置側のサポートにも問い合わせ行っているのですが、
原因解決に至らず、IdP側に問題がないか調べる糸口がつかめればと思い
質問させていただきました。

どうぞよろしくお願いいたします。

//
　黒堀　聡志 （xxxxxxxx@xxxxxxxxxxx）
　農林水産省　農林水産技術会議事務局　筑波事務所
　情報システム課（農林水産研究情報総合センター）
　ネットワーク運営係
  （305-8601）茨城県つくば市観音台2-1-9
　Tel: 029-838-7349 Fax: 029-838-7340


-------------------------------------------
株式会社 オープンソース・ワークショップ
牟田口 満
e-mail xxxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx
url http://opensource-workshop.jp
twitter http://twitter.com/akagane99
facebook http://www.facebook.com/mitsuru.mutaguchi
skype akagane99
ハングアウト xxxxxxxxx@xxxxxxxxx
携帯 090(6569)8052
-------------------------------------------

Follow-Ups:
- [upki-fed:00865] Re: ローカルSPとの連携方法について
  - From: Satoshi Kurohori

References:
- [upki-fed:00863] ローカルSPとの連携方法について
  - From: Satoshi Kurohori

Prev by Date: [upki-fed:00863] ローカルSPとの連携方法について
Next by Date: [upki-fed:00865] Re: ローカルSPとの連携方法について
Previous by thread: [upki-fed:00863] ローカルSPとの連携方法について
Next by thread: [upki-fed:00865] Re: ローカルSPとの連携方法について
Index(es):
- Date
- Thread