IdP関連
...
...
Error Message: SAML 2 SSO profile is not configured for relying party https://sp.example.ac.jp/shibboleth-sp
...
書式設定済み |
---|
1:19:57.770 - ERROR [org.opensaml.xml.security.SigningUtil:250] - Error during signature verification java.security.SignatureException: Signature length not correct: got 256 but was expecting 128
|
...
書式設定済み |
---|
Error Message: Message did not meet security requirements
|
...
- IdPがJava 7を使用している。
- 接続しようとしているSPのメタデータに1024bitの証明書と2048bitの証明書が混在している。
- SPが認証要求(AuthnRequest)に署名している。
...
書式設定済み |
---|
$ sudo -u tomcat /opt/shibboleth-idp/bin/aacli.sh --configDir /opt/shibboleth-idp/conf/ --principal=test001 --requester=https://sp.example.ac.jp/shibboleth-sp
Exception in thread "main" org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'shibboleth.HandlerManager': Initialization of bean failed; nested exception is java.lang.NoClassDefFoundError: javax/servlet/ServletRequest
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:480)
:
|
...
書式設定済み |
---|
$ sudo ln -s $CATALINA_HOME/lib/servlet-api.jar /opt/shibboleth-idp/lib/ |
...
書式設定済み |
---|
14:51:13.419 - INFO [edu.internet2.middleware.shibboleth.common.config.BaseService:158] - Loading new configuration for service shibboleth.RelyingPartyConfigurationManager
14:51:13.506 - ERROR [edu.internet2.middleware.shibboleth.common.config.BaseService:188] - Configuration was not loaded for shibboleth.RelyingPartyConfigurationManager service, error creating components. The root cause of this error was: org.xml.sax.SAXParseException: The entity name must immediately follow the '&' in the entity reference.
|
...
- 誤ったパスフレーズ設定例
書式設定済み |
---|
<security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
<security:PrivateKey Password="myKeyPa$$word&">
/opt/shibboleth-idp/credentials/server-enc.key
</security:PrivateKey>
|
- 正しいパスフレーズ設定例
書式設定済み |
---|
<security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
<security:PrivateKey Password="myKeyPa$$word&">
/opt/shibboleth-idp/credentials/server-enc.key
</security:PrivateKey>
|
IdP起動時のエラー(The entity name must immediately follow the '&' in the entity reference)
ページを含める |
---|
| IdP起動時のエラー(The entity name must immediately follow the '&' in the entity reference) |
---|
| IdP起動時のエラー(The entity name must immediately follow the '&' in the entity reference) |
---|
|
IdP起動時のエラー (javax.net.ssl.SSLPeerUnverifiedException: SSL peer failed hostname validation for name: null)
ページを含める |
---|
| GakuNinShare:IdP起動時のエラー (javax.net.ssl.SSLPeerUnverifiedException: SSL peer failed hostname validation for name: null) |
---|
| GakuNinShare:IdP起動時のエラー (javax.net.ssl.SSLPeerUnverifiedException: SSL peer failed hostname validation for name: null) |
---|
|
IdPで認証前にブラウザにエラー(SAML 2 SSO profile is not configured for relying party)
ページを含める |
---|
| IdPで認証前にブラウザにエラー(SAML 2 SSO profile is not configured for relying party) |
---|
| IdPで認証前にブラウザにエラー(SAML 2 SSO profile is not configured for relying party) |
---|
|
IdPで認証時にブラウザにエラー(Message was signed, but signature could not be verified)
ページを含める |
---|
| IdPで認証時にブラウザにエラー(Message was signed, but signature could not be verified) |
---|
| IdPで認証時にブラウザにエラー(Message was signed, but signature could not be verified) |
---|
|
IdPで認証時にブラウザにエラー(Message expired, was issued too long ago)
ページを含める |
---|
| IdPで認証時にブラウザにエラー(Message expired, was issued too long ago) |
---|
| IdPで認証時にブラウザにエラー(Message expired, was issued too long ago) |
---|
|
IdPにエラー(net.shibboleth.idp.attribute.resolver.NoResultAnErrorResolutionException: No entries returned from search)
パネル |
---|
個別のページに移動 抜粋を含める |
---|
| GakuNinShare:IdPにエラー(net.shibboleth.idp.attribute.resolver.NoResultAnErrorResolutionException: No entries returned from search) |
---|
| GakuNinShare:IdPにエラー(net.shibboleth.idp.attribute.resolver.NoResultAnErrorResolutionException: No entries returned from search) |
---|
nopanel | true |
---|
|
|
IdPで認証時にエラー
IdPで認証時のエラーにより再ログインが要求される (Exception unwrapping data: Tag mismatch!)
ページを含める |
---|
| GakuNinShare:IdPで認証時のエラーにより再ログインが要求される (Exception unwrapping data: Tag mismatch!) |
---|
| GakuNinShare:IdPで認証時のエラーにより再ログインが要求される (Exception unwrapping data: Tag mismatch!) |
---|
|
IdPで認証時にTomcatのエラー
ページを含める |
---|
| IdPで認証時にTomcatのエラー |
---|
| IdPで認証時にTomcatのエラー |
---|
|
Tomcat 6.0.43およびそれ以降でのBack-Channel接続のエラー
ページを含める |
---|
| Tomcat 6.0.43およびそれ以降でのBack-Channel接続のエラー |
---|
| Tomcat 6.0.43およびそれ以降でのBack-Channel接続のエラー |
---|
|
JDK 8u60 , 8u51 , 7u85 , 6u101でのメタデータ取得エラー
ページを含める |
---|
| JDK 8u60 , 8u51 , 7u85 , 6u101でのメタデータ取得エラー |
---|
| JDK 8u60 , 8u51 , 7u85 , 6u101でのメタデータ取得エラー |
---|
|
attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。
ページを含める |
---|
| attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。 |
---|
| attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。 |
---|
|
2.3.8もしくはそれ以前のIdPで認証前にログにエラー
ページを含める |
---|
| 2.3.8もしくはそれ以前のIdPで認証前にログにエラー |
---|
| 2.3.8もしくはそれ以前のIdPで認証前にログにエラー |
---|
|
aacli.shが実行できない問題の対処(その1)
ページを含める |
---|
| aacli.shが実行できない問題の対処(その1) |
---|
| aacli.shが実行できない問題の対処(その1) |
---|
|
aacli.shが実行できない問題の対処(その2)
ページを含める |
---|
| aacli.shが実行できない問題の対処(その2) |
---|
| aacli.shが実行できない問題の対処(その2) |
---|
|
ローカルに配置したSPメタデータの証明書更新時のエラー
ページを含める |
---|
| ローカルに配置したSPメタデータの証明書更新時のエラー |
---|
| ローカルに配置したSPメタデータの証明書更新時のエラー |
---|
|
SAMLレスポンスを取得する方法
ページを含める |
---|
| SAMLレスポンスを取得する方法 |
---|
| SAMLレスポンスを取得する方法 |
---|
|
学認申請システムが自動生成するattribute-filter取得時のエラー
ページを含める |
---|
| 学認申請システムが自動生成するattribute-filter取得時のエラー |
---|
| 学認申請システムが自動生成するattribute-filter取得時のエラー |
---|
|
SP関連
SPで認証後にエラー(A valid authentication statement was not found in the incoming message)
ページを含める |
---|
| SPで認証後にエラー(A valid authentication statement was not found in the incoming message) |
---|
| SPで認証後にエラー(A valid authentication statement was not found in the incoming message) |
---|
|
SPからDSに遷移したときにDSでエラー (その1)
ページを含める |
---|
| SPからDSに遷移したときにDSでエラー (その1) |
---|
| SPからDSに遷移したときにDSでエラー (その1) |
---|
|
SPからDSに遷移したときにDSでエラー (その2)
ページを含める |
---|
| SPからDSに遷移したときにDSでエラー (その2) |
---|
| SPからDSに遷移したときにDSでエラー (その2) |
---|
|
SAML2でバックチャネル接続エラー
ページを含める |
---|
| SAML2でバックチャネル接続エラー |
---|
| SAML2でバックチャネル接続エラー |
---|
|
SP起動時のエラー(error while loading resource (/etc/shibboleth/shibboleth2.xml): XML error(s) during parsing, check log for specifics)
ページを含める |
---|
| GakuNinShare:SP起動時のエラー(error while loading resource |
---|
|
SP関連
- SPで認証後にエラー
書式設定済み |
---|
opensaml::FatalProfileException
...
opensaml::FatalProfileExceptionat (https://sp.example.ac.jp/Shibboleth.sso/SAML2/POST)
A valid authentication statement was not found in the incoming message.
|
→SPメタデータに記載されている証明書がSPにインストールされていない。
加えて、SPメタデータに複数証明書が記載されており、その一部がインストールされていない場合、タイミングによってエラーになったりならなかったりするので特に注意が必要。
- SPからDSに遷移したときにDSでエラー
SPからDSに遷移したときにDSにて以下のようにブラウザにエラーが表示される。 書式設定済み |
---|
エラー: 無効なクエリです
The return URL 'https://sp.example.ac.jp/Shibboleth.sso/DS' could not be verified for Service Provider 'https://sp.example.ac.jp/shibboleth-sp'.
|
→学認技術ガイドに従ってSPを設定した場合、DSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/DS' となります。学認申請システムでSPの登録を行なうときに「DSからのリターンURL 」項目がこの値になっていない場合には上記のエラーが表示されます。
→なお、学認技術ガイドの「2.DSサーバの参照設定を行います。」において、SessionInitiatorのLocationを変更した場合にはDSからのリターンURLも変わります。例えば <SessionInitiator type="Chaining" Location="/ABC"...>
としたときのDSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/ABC' となります。また、shibboleth2.xmlにSessionInitiatorが1つも存在しない場合にはデフォルト値の 'https://HOSTNAME/Shibboleth.sso/Login' を使用してください。
- SAML2でバックチャネル接続エラー
SAML2でIdPに接続したときに下記のようなバックチャネルの接続エラーが発生することがあります。 書式設定済み |
---|
2012-11-16 17:45:00 ERROR Shibboleth.AttributeResolver.Query [6]: exception during SAML query to https://idp.example.ac.jp:8443/idp/profile/SAML2/SOAP/AttributeQuery: CURLSOAPTransport failed while contacting SOAP endpoint (https://idp.example.ac.jp:8443/idp/profile/SAML2/SOAP/AttributeQuery): connect() timed out!
2012-11-16 17:45:00 ERROR Shibboleth.AttributeResolver.Query [6]: unable to obtain a SAML response from attribute authority
|
→上記のエラーはIdP(idp.example.ac.jp)のattribute-filter.xmlに接続元SPへの属性送出設定がない(属性が受け渡されない)とき、SAML2でBack-Channelポートにfallbackするため発生します。IdP側のファイアウォールなどでBack-Channel(ポート8443)への接続が許可されていない場合にタイムアウトとなることがあります。いずれにしろ設定により属性は渡されませんので、このエラーによる実害は(ブラウザ表示の遅延以外は)特にありません。
→SAML2対応IdPのみ接続するときに「SPでBack-Channelを使用しないようにする設定」を以下に記載します。学認外のIdPと連携する場合など、SAML1で属性受け渡しをする可能性があるときは属性取得できなくなりますので、SAML2でかつBack-Channelを利用しないときだけに用いてください。 - /etc/shibboleth/shibboleth2.xml で次の部分をコメントアウト
書式設定済み |
---|
<!-- Use a SAML query if no attributes are supplied during SSO. -->
<AttributeResolver type="Query" subjectMatch="true"/>
|
...
書式設定済み |
---|
$ sudo /etc/init.d/shibd start
Starting shibd: configuration is invalid, check console for specific problems
[FAILED]
|
...
(/etc/shibboleth/shibboleth2.xml): |
|
...
...
...
...
...
...
...
...
specifics) | | GakuNinShare:SP起動時のエラー(error while loading resource (/etc/shibboleth/shibboleth2.xml): XML error(s) |
---|
|
...
...
...
...
...
...
書式設定済み |
---|
<CredentialResolver type="File" key="cert/server-enc.key" certificate="cert/server-enc.crt" password="myKeyPa$$word&"/>
|
...