Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibidp:troubleshooting [2021/08/12 12:30] – [The application you have accessed is not registered for use with this service] Ergänzung: AuthnRequest und MD-Eintrag vergleichen Silke Meyer | de:shibidp:troubleshooting [2022/02/08 15:51] – Fehlermeldung bei fehlender Transcoding-Regel Silke Meyer |
---|
</saml2:Assertion> | </saml2:Assertion> |
</file> | </file> |
| |
| ===== Attribute samlPairwiseID does not have any transcoding rules ===== |
| |
| Bei Shibboleth IdPs 4.x, **die von einer Version 3.x upgegraded wurden**, wird die Attribute Registry nicht ohne Hinzutun benutzt. Die Datei ''attribute-Resolver.xml'' enthält dann noch wie früher die Transcoding-Regeln für jedes definierte Attribut. Wenn Sie eine neue Attributdefinition einfügen, muss auch diese eine Transcoding-Regel enthalten, sonst kann der IdP das Attribut nicht in eine für SPs lesbare Form kodieren. Am Beispiel der SAML Pairwise ID sieht das so aus:<file xml /opt/shibboleth-idp/conf/attribute-resolver.xml> |
| <AttributeDefinition xsi:type="Scoped" id="samlPairwiseID" scope="%{idp.scope}"> |
| <InputDataConnector ref="myStoredId" attributeNames="persistentId"/> |
| <AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oasis:names:tc:SAML:attribute:pairwise-id" friendlyName="pairwise-id" encodeType="false" /> |
| </AttributeDefinition> |
| </file> |
| Sie können den IdP alternativ auf die [[de:shibidp:upgrade#umstellung_auf_die_nutzung_der_attribute_registry_optional|Nutzung der Attribute Registry]] umbauen. |
| Die Zeile mit dem ''AttributeEncoder'' darf hingegen **bei einem neu installierten IdP 4.x nicht** hier auftauchen, sie wird aus der Attribute Registry unterhalb von ''conf/attributes'' geholt. |
| |
===== opensaml::SecurityPolicyException ===== | ===== opensaml::SecurityPolicyException ===== |
</file> | </file> |
* Schauen Sie ins DEBUG-Log. Vergleichen Sie den ''saml:Issuer'' aus dem AuthnRequest mit der EntityID, die Sie kontaktieren möchten. Wird im Authentication Request ein anderer String als Aussteller gesendet, kann der IdP diesen Aussteller nicht in den Metadaten finden. Kontaktieren Sie in diesem Fall den SP-Betreiber. | * Schauen Sie ins DEBUG-Log. Vergleichen Sie den ''saml:Issuer'' aus dem AuthnRequest mit der EntityID, die Sie kontaktieren möchten. Wird im Authentication Request ein anderer String als Aussteller gesendet, kann der IdP diesen Aussteller nicht in den Metadaten finden. Kontaktieren Sie in diesem Fall den SP-Betreiber. |
| |
| ===== DecryptNameIDFailed ===== |
| Sie erhalten (z.B. nach einem Zertifikatstausch) die Fehlermeldung "A non-proceed event occurred while processing the request: DecryptNameIDFailed" - möglicherweise auch erst beim Single Logout. Der SP verschlüsselt offenbar mit einem Zertifikat, zu dem der IdP keinen privaten Schlüssel (mehr) hat. Entfernen Sie das alte Zertifikat aus den Metadaten und warten Sie die üblichen 60-90 Minuten, bis sich in der Föderation herumgesprochen hat, dass nur noch das neue Zertifikat verwendet werden soll. |
| |
===== Eine Datei in den Auslieferungszustand bringen ===== | ===== Eine Datei in den Auslieferungszustand bringen ===== |