Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp:troubleshooting [2021/04/26 15:32] – tags hinzugefügt Silke Meyerde:shibidp:troubleshooting [2021/05/12 10:11] Silke Meyer
Zeile 27: Zeile 27:
 idp.xml.securityManager=org.apache.xerces.util.SecurityManager idp.xml.securityManager=org.apache.xerces.util.SecurityManager
 # ... # ...
 +</file>
 +
 +===== Welche Attribute und Attribut-Werte werden an einen SP übertragen? =====
 +
 +Um die komplette SAML-Assertion einzusehen, setzen Sie - wie oben beschrieben - das Loglevel für idp, messages und encryption auf DEBUG. Im idp-process.log sehen Sie dann die Assertion. Suchen Sie nach **"Assertion before encryption"**. In dieser SAML Assertion sehen Sie, dass die persistentId mit dem Wert "NMTR6SVZOCUWF5MNGDDIYQQBY4QCB76N" und die Attribute ''eduPersonScopedAffiliation'' (mit drei Werten) und ''eduPersonEntitlement'' (mit einem Wert) von dem IdP mit der EntityId https://idp.local/idp/shibboleth and den SP mit der EntityId https://sp1.local/shibboleth übertragen wurden:
 +
 +<file xml /opt/shibboleth-idp/logs>
 +2020-10-27 14:54:07,079 - 127.0.0.2 - DEBUG [org.opensaml.saml.saml2.encryption.Encrypter:339] - Assertion before encryption:
 +<?xml version="1.0" encoding="UTF-8"?><saml2:Assertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" ID="_3a89275f3cd179685b22a3cf616c518a" IssueInstant="2020-10-27T13:54:06.179Z" Version="2.0">
 +   <saml2:Issuer>https://idp.local/idp/shibboleth</saml2:Issuer>
 +   <saml2:Subject>
 +      <saml2:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="https://idp.local/idp/shibboleth" SPNameQualifier="https://sp1.local/shibboleth" xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">NMTR6SVZOCUWF5MNGDDIYQQBY4QCB76N</saml2:NameID>
 +      <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
 +         <saml2:SubjectConfirmationData Address="127.0.0.2" InResponseTo="_72e4da8e1fa8dfcea0f85a340ded8b7c" NotOnOrAfter="2020-10-27T13:59:06.581Z" Recipient="https://sp1.local/Shibboleth.sso/SAML2/POST"/>
 +      </saml2:SubjectConfirmation>
 +   </saml2:Subject>
 +   <saml2:Conditions NotBefore="2020-10-27T13:54:06.179Z" NotOnOrAfter="2020-10-27T13:59:06.179Z">
 +      <saml2:AudienceRestriction>
 +         <saml2:Audience>https://sp1.local/shibboleth</saml2:Audience>
 +      </saml2:AudienceRestriction>
 +   </saml2:Conditions>
 +   <saml2:AuthnStatement AuthnInstant="2020-10-27T13:53:52.456Z" SessionIndex="_d8a534b987abc20fe007a9cc80af7bdb">
 +      <saml2:SubjectLocality Address="127.0.0.2"/>
 +      <saml2:AuthnContext>
 +         <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml2:AuthnContextClassRef>
 +      </saml2:AuthnContext>
 +   </saml2:AuthnStatement>
 +   <saml2:AttributeStatement>
 +      <saml2:Attribute FriendlyName="eduPersonScopedAffiliation" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.9" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
 +         <saml2:AttributeValue>staff@local</saml2:AttributeValue>
 +         <saml2:AttributeValue>member@local</saml2:AttributeValue>
 +         <saml2:AttributeValue>employee@local</saml2:AttributeValue>
 +      </saml2:Attribute>
 +      <saml2:Attribute FriendlyName="eduPersonEntitlement" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
 +         <saml2:AttributeValue>urn:mace:dir:entitlement:common-lib-terms</saml2:AttributeValue>
 +      </saml2:Attribute>
 +   </saml2:AttributeStatement>
 +</saml2:Assertion>
 </file> </file>
  
Zeile 65: Zeile 103:
  
 Eine genauere Erklärung der Attribute Registry finden Sie in unserem [[de:shibidp:upgrade#upgrade_auf_shibboleth_idp_4x|Upgrade-Vortrag]], ca. ab Minute 13:40. Eine genauere Erklärung der Attribute Registry finden Sie in unserem [[de:shibidp:upgrade#upgrade_auf_shibboleth_idp_4x|Upgrade-Vortrag]], ca. ab Minute 13:40.
 +
 +===== Doppelte Transcoding-Regel hinterlegt =====
 +Wenn Sie untenstehende Fehlermeldung bekommen, dann haben Sie wahrscheinlich ein Attribut, z.B. die ''eduPersonTargetedId'' doppelt in der Attribute Registry hinterlegt. Möglicherweise haben Sie sowohl die Datei dfnMisc.xml eingebunden ([[de:shibidp:config-attributes#edupersontargetedid_und_andere_verbreitete_attribute_hinterlegen|wie hier beschrieben]]), als auch das Einzelattribut ''eduPersonTargetedId'' in einer .properties-Datei unterhalb von ''conf/attributes/custom/'' hinterlegt. Löschen Sie am besten einfach die .properties-Datei, dann wird nur noch das Attribut aus dfnMisc.xml gelesen.
 +
 +<code bash>java.lang.IllegalArgumentException: {urn:oasis:names:tc:SAML:2.0:assertion}NameID is
 +already the child of another XMLObject and may not be inserted into this list</code>
  
 ===== JPAStorage mit PostgreSQL ===== ===== JPAStorage mit PostgreSQL =====
  • Zuletzt geändert: vor 12 Monaten