[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00865] Re: ローカルSPとの連携方法について



オープンソース・ワークショップ 牟田口様

農林水産研究情報総合センターの黒堀です。
早速の回答ありがとうございました。

本日は検証ができませんでしたが、参考に調査を進めてみます。
また相談させていただくかも知れませんが、よろしくお願い致します。


お礼が遅くなり、失礼いたしました。


On Fri, 24 Oct 2014 10:36:03 +0900
OSWS牟田口 満 <xxxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx> wrote:

> 農林水産研究情報総合センター 黒堀さま
> 
> オープンソース・ワークショップの牟田口です。
> 
> ちょっと調べてみました。
> VPS製品を扱っているJuniperに、こんな記事がありました。
> 参考になれば幸いです。
> 
> http://forums.juniper.net/t5/SSL-VPN/SAML-Transfer-failed-FAILURE-No-valid-assertion-found-in-SAML/td-p/163828
> (抜粋)
> I had this exact same problem. I fixed it by setting the "Allowed Clock Skew (minutes)" in the auth server settings to 10 minutes.
> ⇒Allowed Clock Skew (minutes)を10分に設定したらなおったよ。
> 
> 
> http://www.juniper.net/techpubs/en_US/sa7.4/topics/task/configuration/secure-access-saml20-service-provider-configuring.html
> (自動翻訳の抜粋)
> ---
> Allowed Clock Skew (minutes)
> ---
> セキュアアクセスサービスクロックとSAMLアイデンティティプロバイダサーバclock.Note間の時間の最大許容差が指定します。
> SAMLは、時間に敏感なプロトコルです。 SAMLアサーションの時間ベースの有効性は、SAML IDプロバイダによって決定されます。
> SAMLのIDプロバイダとSAMLサービスプロバイダクロックが斜めにしている場合、アサーションは無効と判断することができるし、次のエラーが表示されます。
> 
> "SAML Transferred failed. Please contact your system administrator. Detail: Failure: No valid assertion found in SAML response."
> 
> 私たちは、あなたが同期しているクロックを確実にするために、NTPを使用し、あらゆる予想されるか、許容スキューを収納可クロックスキュー値を設定することをお勧めします。
> 
> 
> 
> On 2014/10/24 10:09, Satoshi Kurohori wrote:
> > UPKI-fed ML の皆様
> >
> > 農林水産研究情報総合センターの黒堀です。
> >
> > ローカルSPとの連携方法について質問をさせてください。
> >
> > 現在、VPN接続用アプライアンス装置の認証を、
> > Shibboleth連携させる検証を行っているのですが、
> > 「FAILURE: No valid assertion found in SAML response」
> > とエラー表示されうまく連携できません。
> >
> > 何かお気づきの点があればご教授いただけますでしょうか。
> >
> > 以下詳細を記載させていただきます。
> >
> > ■現状・構成について
> > ・自前でIdP構築し、学認本番Fedへ登録済み
> > ・学認Fed内のいくつかのSPとは連携確認済み
> > ・試行対象VPN装置は、学認Fedに登録はしていません
> >  ->そのため「[upki-fed:00775] 学内用SP構築に関する質問」等を参考にさせていただき、
> >   ローカルのメタデータと学認メタデータを参照するよう設定(*1)
> >
> > ■(*1) VPN装置との連携用設定抜粋
> >
> > 1. VPN装置にShibboleth設定(IdPのURL等)を行い、
> >  エクスポートされたメタデータファイルを取得
> > 2.上記メタデータをIdP側に配置
> > 3.relay-parti.xmlに下記追加
> >
> > #「relying-party.xml」抜粋
> >
> > <metadata:MetadataProvider
> >      id="ShibbolethMetadata"
> >      xsi:type="metadata:ChainingMetadataProvider">
> >
> >       <metadata:MetadataProvider
> >            id="SSLVPNMD"
> >            xsi:type="metadata:FilesystemMetadataProvider"
> >            metadataFile="/opt/shibboleth-idp/metadata/ssl-vpn-metadata.xml"  />
> >
> >       <metadata:MetadataProvider id="URLMD" ~~
> >
> >
> > ■エラー再現までの流れ
> > 1. VPN装置ログイン画面へアクセスするとIdPログイン画面へ遷移
> > 2. IdPへログイン -> 成功
> > 3. VPN装置へリダイレクトされるが、エラーとなる
> >   「FAILURE: No valid assertion found in SAML response」
> >   ※エラー自体はVPN装置側が出している
> >
> > ■エラーについて
> > ・IdP側のログではエラーなし
> >  ※idp-access.log、idp-process.log、idp-audit.log ともに確認
> >  ※Tomcat catalina.out でもエラーなし
> > ・DEBUGレベルでログを記録しており、idp-process.log を見る限り
> >  「Assertion to be encrypted is:」から始まるログに
> >  SP側に(指定した属性値を含む)Assertionを送信しているように見えます。
> >
> >
> > VPN装置側のサポートにも問い合わせ行っているのですが、
> > 原因解決に至らず、IdP側に問題がないか調べる糸口がつかめればと思い
> > 質問させていただきました。
> >
> > どうぞよろしくお願いいたします。
> >
> > //
> >  黒堀 聡志 (xxxxxxxx@xxxxxxxxxxx)
> >  農林水産省 農林水産技術会議事務局 筑波事務所
> >  情報システム課(農林水産研究情報総合センター)
> >  ネットワーク運営係
> >   (305-8601)茨城県つくば市観音台2-1-9
> >  Tel: 029-838-7349 Fax: 029-838-7340
> >
> 
> -------------------------------------------
> 株式会社 オープンソース・ワークショップ
> 牟田口 満
> e-mail xxxxxxxxx@xxxxxxxxxxxxxxxxxxxxxx
> url http://opensource-workshop.jp
> twitter http://twitter.com/akagane99
> facebook http://www.facebook.com/mitsuru.mutaguchi
> skype akagane99
> ハングアウト xxxxxxxxx@xxxxxxxxx
> 携帯 090(6569)8052
> -------------------------------------------

//
 黒堀 聡志 (xxxxxxxx@xxxxxxxxxxx)
 農林水産省 農林水産技術会議事務局 筑波事務所
 情報システム課(農林水産研究情報総合センター)
 ネットワーク運営係
 (305-8601)茨城県つくば市観音台2-1-9
 Tel: 029-838-7349 Fax: 029-838-7340