IdP関連

• IdPで認証前にエラー

  Error Message: SAML 2 SSO profile is not configured for relying party https://sp.example.ac.jp/shibboleth-sp
  

  →relying-party.xmlにこのSPだけに対する特殊な<RelyingParty>設定があり、かつその中に SAML2SSOProfile の設定が抜けているとこのエラーになります。
• attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。
  →attribute-filter.xmlのAttributeFilterPolicy要素のidが重複していると、最後のものしか有効にならないようです。idが重複しないように修正してください。

SP関連

• SPで認証後にエラー

  opensaml::FatalProfileException
  ...
  opensaml::FatalProfileExceptionat (https://sp.example.ac.jp/Shibboleth.sso/SAML2/POST)
  A valid authentication statement was not found in the incoming message.
  

  →SPメタデータに記載されている証明書がSPにインストールされていない。
  加えて、SPメタデータに複数証明書が記載されており、その一部がインストールされていない場合、タイミングによってエラーになったりならなかったりするので特に注意が必要。

• DSからのリターンURLにアクセスするとエラー
  DSからのリターンURL(例: https://sp.example.ac.jp/Shibboleth.sso/DS)にアクセスしたときブラウザエラーが出力されます。

      エラー: 無効なクエリです
      The return URL 'https://sp.example.ac.jp/Shibboleth.sso/DS' could not be verified for Service Provider 'https://sp.example.ac.jp/shibboleth-sp'.
  

  →学認技術ガイドに従ってSPを設定した場合、DSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/DS' となります。学認申請システムでSPの登録を行なうときに「DSからのリターンURL 」がこの値になっていない場合には上記のエラーが出力されます。
  →学認技術ガイドの「２．DSサーバの参照設定を行います。」において、SessionInitiatorのLocationを変更した場合にはDSからのリターンURLも変わります。例えば <SessionInitiator type="Chaining" Location="/ABC"...> としたときのDSからのリターンURLは 'https://HOSTNAME/Shibboleth.sso/ABC' となります。