[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:01117] LDAP Connectorでのエラー時にIdP上でエラー表示 (Re: [upki-fed:01097] Shibboleth IdPのShibboleth SP化について)



西村です。

LDAP Connectorでのエラー時にIdP上でエラー表示する件、それらしい
方法が見つかりましたので報告します。

まず、11月28日に私が指摘した件(末尾に引用)は見当違いでした。
LDAP ConnectorのエラーはデフォルトではResolverで揉み消されるので外には出ません。

これを外に出るようにするには services.properties をいじります。
> @@ -24,7 +24,7 @@
>  #idp.service.attribute.resolver.resources = shibboleth.AttributeResolverResources
>  #idp.service.attribute.resolver.failFast = false
>  idp.service.attribute.resolver.checkInterval = PT15M
> -#idp.service.attribute.resolver.maskFailures = true
> +idp.service.attribute.resolver.maskFailures = false
>  
>  #idp.service.attribute.filter.resources = shibboleth.AttributeFilterResources
>  # NOTE: Failing the filter fast leaves no filters enabled.

これで外には出るのですが、デフォルトではエラー応答をSPに返してしまいます。
つまりSP側で
> opensaml::FatalProfileException at (https://ex-sp-test18.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
> SAML response reported an IdP error.
> Error from identity provider:
> Status: urn:oasis:names:tc:SAML:2.0:status:Responder
> Message: An error occurred.

のようなエラーが表示されます。

これをIdP側で止めるには、errors.xml をいじります。
> @@ -24,10 +24,11 @@
>      <util:map id="shibboleth.LocalEventMap">
>          <entry key="ContextCheckDenied" value="true" />
>          <entry key="AttributeReleaseRejected" value="true" />
>          <entry key="TermsRejected" value="true" />
>          <entry key="RuntimeException" value="false" />
> +<entry key="UnableToResolveAttributes" value="true"/>
>          <!--
>          <entry key="IdentitySwitch" value="false" />
>          <entry key="NoPotentialFlow" value="false" />
>          -->
>      </util:map>

以上で、IdP側で以下のエラーが表示されるようになりました。
> ウェブログインサービス - エラー
> 
> エラーが発生しました: UnableToResolveAttributes

PS
今日と明日、シボレス実習活用編を実施中です。
日頃の疑問質問など溜まっているものがありましたら、出してみてはどうでしょうか。
# 答えられるかどうかは保証の限りではありません


> 2016/11/28 18:53、Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>のメール:
> 
> 西村です。
> 
>> 2016/11/28 18:48、URA Hiroshi <xxx@xxxxxxxxxx>のメール:
>> 
>> なるほど、LDAPConnector自体はエラーとなるが、SPへの属性送信には影響が
>> ないのですね。
> 
> 通常の属性送信ではなく、SPにエラー応答が渡されているんだと思います。

-- 
西村健
国立情報学研究所 TEL:03-4212-2890
⌘