目次 |
---|
IdP関連
- IdPで認証前にエラー
→relying-party.xmlにこのSPだけに対する特殊な<RelyingParty>設定があり、かつその中に書式設定済み Error Message: SAML 2 SSO profile is not configured for relying party https://sp.example.ac.jp/shibboleth-sp
SAML2SSOProfile
の設定が抜けているとこのエラーになります。
もしくは、このSPが最近追加されたものである場合、IdPが最新のメタデータ取得に失敗している可能性があります。 - attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。
→attribute-filter.xml中のAttributeFilterPolicy要素のidが重複していると、最後のものしか有効にならないようです。idが重複しないように修正してください。 - aacli.shが実行できない問題の対処
Shibboleth IdPにはaacli.shというコマンドがあり、任意のSP(entityID)と任意のユーザ名を引数に与えることでSPに送出される属性がXMLで取得できます。IdP 2.3.5以降ではIdPに含まれるファイルが変更となった影響でそのまま実行するとNoClassDefFoundError
となります。
→ 上記エラーが出力された場合はTomcatのjarファイルを参照するようにしてください。書式設定済み $ sudo -u tomcat /opt/shibboleth-idp/bin/aacli.sh --configDir /opt/shibboleth-idp/conf/ --principal=test001 --requester=https://sp.example.ac.jp/shibboleth-sp Exception in thread "main" org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'shibboleth.HandlerManager': Initialization of bean failed; nested exception is java.lang.NoClassDefFoundError: javax/servlet/ServletRequest at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:480) :
→ aacli.shコマンドの詳細は https://wiki.shibboleth.net/confluence/display/SHIB2/AACLI をご参照ください。書式設定済み $ sudo ln -s $CATALINA_HOME/lib/servlet-api.jar /opt/shibboleth-idp/lib/
→ 参考情報 : 情報交換メーリングリストupki-fed:00419
SP関連
- SPで認証後にエラー
→SPメタデータに記載されている証明書がSPにインストールされていない。書式設定済み opensaml::FatalProfileException ... opensaml::FatalProfileExceptionat (https://sp.example.ac.jp/Shibboleth.sso/SAML2/POST) A valid authentication statement was not found in the incoming message.
加えて、SPメタデータに複数証明書が記載されており、その一部がインストールされていない場合、タイミングによってエラーになったりならなかったりするので特に注意が必要。
- SPからDSに遷移したときにDSでエラー
SPからDSに遷移したときにDSにて以下のようにブラウザにエラーが表示される。
→学認技術ガイドに従ってSPを設定した場合、DSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/DS' となります。学認申請システムでSPの登録を行なうときに「DSからのリターンURL 」項目がこの値になっていない場合には上記のエラーが表示されます。書式設定済み エラー: 無効なクエリです The return URL 'https://sp.example.ac.jp/Shibboleth.sso/DS' could not be verified for Service Provider 'https://sp.example.ac.jp/shibboleth-sp'.
→なお、学認技術ガイドの「2.DSサーバの参照設定を行います。」において、SessionInitiatorのLocationを変更した場合にはDSからのリターンURLも変わります。例えば<SessionInitiator type="Chaining" Location="/ABC"...>
としたときのDSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/ABC' となります。また、shibboleth2.xmlにSessionInitiatorが1つも存在しない場合にはデフォルト値の 'https://HOSTNAME/Shibboleth.sso/Login' を使用してください。
...
書式設定済み |
---|
2012-11-16 17:45:00 ERROR Shibboleth.AttributeResolver.Query [6]: exception during SAML query to https://idp.example.ac.jp:8443/idp/profile/SAML2/SOAP/AttributeQuery: CURLSOAPTransport failed while contacting SOAP endpoint (https://idp.example.ac.jp:8443/idp/profile/SAML2/SOAP/AttributeQuery): connect() timed out!
2012-11-16 17:45:00 ERROR Shibboleth.AttributeResolver.Query [6]: unable to obtain a SAML response from attribute authority
|
...
アンカー | ||||
---|---|---|---|---|
|
IdP起動時のエラー(The entity name must immediately follow the '&' in the entity reference)
ページを含める | ||||
---|---|---|---|---|
|
IdP起動時のエラー (javax.net.ssl.SSLPeerUnverifiedException: SSL peer failed hostname validation for name: null)
ページを含める | ||||
---|---|---|---|---|
|
IdPで認証前にブラウザにエラー(SAML 2 SSO profile is not configured for relying party)
ページを含める | ||||
---|---|---|---|---|
|
IdPで認証時にブラウザにエラー(Message was signed, but signature could not be verified)
ページを含める | ||||
---|---|---|---|---|
|
IdPで認証時にブラウザにエラー(Message expired, was issued too long ago)
ページを含める | ||||
---|---|---|---|---|
|
IdPにエラー(net.shibboleth.idp.attribute.resolver.NoResultAnErrorResolutionException: No entries returned from search)
パネル | ||||||||
---|---|---|---|---|---|---|---|---|
|
IdPで認証時にエラー
ページを含める | ||||
---|---|---|---|---|
|
IdPで認証時のエラーにより再ログインが要求される (Exception unwrapping data: Tag mismatch!)
ページを含める | ||||
---|---|---|---|---|
|
IdPで認証時にTomcatのエラー
ページを含める | ||||
---|---|---|---|---|
|
Tomcat 6.0.43およびそれ以降でのBack-Channel接続のエラー
ページを含める | ||||
---|---|---|---|---|
|
JDK 8u60 , 8u51 , 7u85 , 6u101でのメタデータ取得エラー
ページを含める | ||||
---|---|---|---|---|
|
attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。
ページを含める | ||||
---|---|---|---|---|
|
2.3.8もしくはそれ以前のIdPで認証前にログにエラー
ページを含める | ||||
---|---|---|---|---|
|
aacli.shが実行できない問題の対処(その1)
ページを含める | ||||
---|---|---|---|---|
|
aacli.shが実行できない問題の対処(その2)
ページを含める | ||||
---|---|---|---|---|
|
ローカルに配置したSPメタデータの証明書更新時のエラー
ページを含める | ||||
---|---|---|---|---|
|
SAMLレスポンスを取得する方法
ページを含める | ||||
---|---|---|---|---|
|
学認申請システムが自動生成するattribute-filter取得時のエラー
ページを含める | ||||
---|---|---|---|---|
|
SP関連
SPで認証後にエラー(A valid authentication statement was not found in the incoming message)
ページを含める | ||||
---|---|---|---|---|
|
SPからDSに遷移したときにDSでエラー (その1)
ページを含める | ||||
---|---|---|---|---|
|
SPからDSに遷移したときにDSでエラー (その2)
ページを含める | ||||
---|---|---|---|---|
|
SAML2でバックチャネル接続エラー
ページを含める | ||||
---|---|---|---|---|
|
SP起動時のエラー(error while loading resource (/etc/shibboleth/shibboleth2.xml): XML error(s) during parsing, check log for specifics)
ページを含める | ||||
---|---|---|---|---|
|
...