...
- IdPで認証前にエラー
→relying-party.xmlにこのSPだけに対する特殊な<RelyingParty>設定があり、かつその中に書式設定済み Error Message: SAML 2 SSO profile is not configured for relying party https://sp.example.ac.jp/shibboleth-sp
SAML2SSOProfile
の設定が抜けているとこのエラーになります。 - attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。
→attribute-filter.xmlのAttributeFilterPolicy要素のidが重複していると、最後のものしか有効にならないようです。idが重複しないように修正してください。xml中のAttributeFilterPolicy要素のidが重複していると、最後のものしか有効にならないようです。idが重複しないように修正してください。
SP関連
- SPで認証後にエラー
→SPメタデータに記載されている証明書がSPにインストールされていない。書式設定済み opensaml::FatalProfileException ... opensaml::FatalProfileExceptionat (https://sp.example.ac.jp/Shibboleth.sso/SAML2/POST) A valid authentication statement was not found in the incoming message.
加えて、SPメタデータに複数証明書が記載されており、その一部がインストールされていない場合、タイミングによってエラーになったりならなかったりするので特に注意が必要。DSからのリターンURLにアクセスするとエラー
DSからのリターンURL(例: https://sp.example.ac.jp/Shibboleth.sso/DS)にアクセスしたときブラウザエラーが出力されます。
- SPからDSに遷移したときにDSでエラー
SPからDSに遷移したときにDSにて以下のブラウザエラーが出力される。
→学認技術ガイドに従ってSPを設定した場合、DSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/DS' となります。学認申請システムでSPの登録を行なうときに「DSからのリターンURL 」がこの値になっていない場合には上記のエラーが出力されます。」項目がこの値になっていない場合には上記のエラーが出力されます。書式設定済み エラー: 無効なクエリです The return URL 'https://sp.example.ac.jp/Shibboleth.sso/DS' could not be verified for Service Provider 'https://sp.example.ac.jp/shibboleth-sp'.
→学認技術ガイドの「2.DSサーバの参照設定を行います。」において、SessionInitiatorのLocationを変更した場合にはDSからのリターンURLも変わります。例えば<SessionInitiator type="Chaining" Location="/ABC"...>
としたときのDSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/ABC' となります。' となります。また、shibboleth2.xmlにSessionInitiatorが1つも存在しない場合にはデフォルト値の 'https://HOSTNAME/Shibboleth.sso/Login' を使用してください。