[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:01117] LDAP Connectorでのエラー時にIdP上でエラー表示 (Re: [upki-fed:01097] Shibboleth IdPのShibboleth SP化について)
- Subject: [upki-fed:01117] LDAP Connectorでのエラー時にIdP上でエラー表示 (Re: [upki-fed:01097] Shibboleth IdPのShibboleth SP化について)
- Date: Thu, 8 Dec 2016 16:44:29 +0900
- From: Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>
西村です。
LDAP Connectorでのエラー時にIdP上でエラー表示する件、それらしい
方法が見つかりましたので報告します。
まず、11月28日に私が指摘した件(末尾に引用)は見当違いでした。
LDAP ConnectorのエラーはデフォルトではResolverで揉み消されるので外には出ません。
これを外に出るようにするには services.properties をいじります。
> @@ -24,7 +24,7 @@
> #idp.service.attribute.resolver.resources = shibboleth.AttributeResolverResources
> #idp.service.attribute.resolver.failFast = false
> idp.service.attribute.resolver.checkInterval = PT15M
> -#idp.service.attribute.resolver.maskFailures = true
> +idp.service.attribute.resolver.maskFailures = false
>
> #idp.service.attribute.filter.resources = shibboleth.AttributeFilterResources
> # NOTE: Failing the filter fast leaves no filters enabled.
これで外には出るのですが、デフォルトではエラー応答をSPに返してしまいます。
つまりSP側で
> opensaml::FatalProfileException at (https://ex-sp-test18.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
> SAML response reported an IdP error.
> Error from identity provider:
> Status: urn:oasis:names:tc:SAML:2.0:status:Responder
> Message: An error occurred.
のようなエラーが表示されます。
これをIdP側で止めるには、errors.xml をいじります。
> @@ -24,10 +24,11 @@
> <util:map id="shibboleth.LocalEventMap">
> <entry key="ContextCheckDenied" value="true" />
> <entry key="AttributeReleaseRejected" value="true" />
> <entry key="TermsRejected" value="true" />
> <entry key="RuntimeException" value="false" />
> +<entry key="UnableToResolveAttributes" value="true"/>
> <!--
> <entry key="IdentitySwitch" value="false" />
> <entry key="NoPotentialFlow" value="false" />
> -->
> </util:map>
以上で、IdP側で以下のエラーが表示されるようになりました。
> ウェブログインサービス - エラー
>
> エラーが発生しました: UnableToResolveAttributes
PS
今日と明日、シボレス実習活用編を実施中です。
日頃の疑問質問など溜まっているものがありましたら、出してみてはどうでしょうか。
# 答えられるかどうかは保証の限りではありません
> 2016/11/28 18:53、Takeshi NISHIMURA <xxxxxxx@xxxxxxxxx>のメール:
>
> 西村です。
>
>> 2016/11/28 18:48、URA Hiroshi <xxx@xxxxxxxxxx>のメール:
>>
>> なるほど、LDAPConnector自体はエラーとなるが、SPへの属性送信には影響が
>> ないのですね。
>
> 通常の属性送信ではなく、SPにエラー応答が渡されているんだと思います。
--
西村健
国立情報学研究所 TEL:03-4212-2890
⌘