30日間の無料評価版をお試しいただけます。

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

 

トラブルシューティングでは、onelogin.saml.propertiesのonelogin.sample2.idp.single_sign_on_service.urlから提供されるSSO URLを、理想的にはAD FSサーバ上で実行するのが好ましいです。

こちらの項目では、以下のように基礎的な問題への解決策を紹介します。

署名の検証に失敗

不正な鍵長

無効な名前ID

ユーザーが見つからない

 

 

署名の検証に失敗

以下のエラーが発生した場合:

ERROR c.onelogin.saml2.authn.SamlResponse - Signature validation failed. SAML Response rejected

onelogin.saml.propertiesで参照した以下のような公開鍵が無効であることを意味します。

onelogin.saml2.idp.x509cert =MIIC2DCCAcCgAwIBAgIQfdRAAWmWko1IsimA004o3TANBgkqhki…

 

解決策

AD FSから有効な証明書を取得

onelogin.saml.properties(onelogin.saml2.idp.x509cert)の編集

Yellowfinの再起動

AD FSのYellowfin SMAL Bridgeのreplying party(信頼できる利用者)メタデータを更新

 

 

不正な鍵長

Yellowfinログに、以下のような例外が見つかる場合があります。

org.apache.xml.security.encryption.XMLEncryptionException: Illegal key size

元の例外は、java.security.InvalidKeyException:不正な鍵長


解決策

以下のSAML応答ペイロードを検証する際、データはAES-256で暗号化されます。

EncryptionMethodアルゴリズムは、こちらを参照してください。:http://www.w3.org/2001/04/xmlenc#aes256-cbc

 

デフォルトでは、アメリカのエクスポート規制、数カ国のインポート規制にした従い、Javaの鍵長は128bitに制限されています。

こちらを変更する方法は、以下の通りです。

Java暗号化拡張機能(Java Cryptography Extension (JCE))無制限強度管轄ポジリーファイルをダウンロードする。

Java 7:http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html

Java 8:http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html

local_policy.jarとUS_export_policy.jarを、[JAVA_HOME]/jre/lib/securityディレクトリにコピーする

 

 

不正な名前ID

SAMLは、アイデンティティプロバイダー応答の一部として、名前IDを要求します。AD FSの不正な名前IDを提供した場合、ブラウザに以下の例外が表示されます。

 

SAML bridgeが想定する形式(onelogin.saml.propertiesのonelogin.saml2.sp.sameidformat)に一致する適切な名前IDを渡します。

可能な形式の一覧は、以下の通りです。

 

 

 

前項:AD FS構成

 

後項:トラブルシューティング

 

 

  • No labels