web-dev-qa-db-ja.com

不正なSAMLリクエスト

DominoサーバーでWebSAMLログインをセットアップしようとしています。 Oracle Identity Federation11gであるIDプロバイダーからSAML2.0メタデータXMLファイルを受け取りました。

メタデータをIdP構成ドキュメントにインポートし、ログインの最初のフェーズを機能させて、ユーザーがログインのためにIdPサーバーにリダイレクトされるようにしました。

IdPでのログインが完了すると、Dominoサーバーにリダイレクトされ、 "Error 400 HTTP Web Server:Bad SAML Request"が表示されます。異なる番号でDEBUG_SAMLnotes.ini設定を試し、最終的にすべてを組み合わせました:DEBUG_SAML = 11199。これはサーバーコンソールに表示されます。

ProduceSaml2ADFSReply: https://Oracle-idp-site.net/fed/idp/initiatesso?providerid=http://mytestsite.fi&returnurl=http://mytestsite.fi/dev/ph/xp.nsf/test.xsp&loginToRp=http://mytestsite.fi
Relay state is not equal [1575470014] - [http://mytestsite.fi/dev/ph/xp.nsf/test.xsp], url decoded/decripted [
http://mytestsite.fi/dev/ph/xp.nsf?$$_vrd2=95ed6770a665e89b35e0a74c03e6b463-b4cea507-ysrLzM3LyMx47oPqJm7hhAT%2FwyC%2BkYQ8GVN1HA%2BVb2FnIek6KcAxlr%2FzuOW018x5SUc5ULLb0zLZs3avb0UaT4t%2FepmI%2FcR29lrkKXIa9lxT9XvViDytNdpVObJG]
Could not decode cookie. Dump post data:
PostFieldName - SAMLResponse - Data - 
PHNhbWxwOlJlc3BvbnNlIHhtbG5zOnNhbWxwPSJ1cm46b2FzaXM6bmFtZXM6dGM6U0FNTDoyLjA6cHJvdG9jb2wiIERlc3RpbmF0aW9uPSJodHRwOi8vZGV2LnNvdmVsbHVzdGFsby5maS9uYW1lcy5uc2Y/U0FNTExvZ2luIiBJRD0iaWQtcnpaeUlWRmY3a3BLMFR1SGVMeTR5T3RnaGFJLSIgSXNzdWVJbnN0YW50PSIyMDEzLTA5LTE5V
PostFieldName - RelayState - Data - http://mytestsite.fi/dev/ph/xp.nsf/test.xsp
19.09.2013 15:17:19   HTTP Web Server: Bad SAML Request [/names.nsf?SAMLLogin] Anonymous

URL http://mytestsite.fi/names.nsf?SAMLLogin になり、上記のエラー400が発生します。 「シングルサインオンサービスのURL」として私は持っています:

https://Oracle-idp-site.net/fed/idp/initiatesso?providerid=http://mytestsite.fi&returnurl=http://mytestsite.fi/dev/ph/xp.nsf/test。 xsp

これは、Oracle製品で機能するURL構造です。メタデータをインポートしたときに、IdP構成ドキュメントのフェデレーション製品が[〜#〜] adfs [〜#〜]に設定されていましたが、も試してみました[〜#〜] tfim [〜#〜]

失敗の理由は、「リレー状態が等しくない」または「Cookieをデコードできませんでした」のようですが、それらについてやった?

編集2013-09-26

DominoはMSADとIBMTFIMのみをIdPとしてサポートしているため、IBMサポートは私を支援することを拒否しました。 SAMLが標準だと思いました。

1
Panu Haaramo

同じエラーが発生し、IdPConfigのx509証明書が正しくインポートまたはコピーされていないことがわかりました。 XMLファイルからメモ帳に直接コピーし、スペースや改行を削除して、構成ファイルに貼り付けました。 HTTPを再起動すると、解決しました。

2
Joe

あなたがこれを解決したかどうかはわかりませんが、私はついに私が設定していたフェデレーションのためにこのエラーを解決することができました。 ADFSに対してフェデレーションをセットアップするようにDominoに指示すると、DOMSTATEというCookieが設定されます。これは、常に設定する必要があります。

また、saml postでRelaystateフラグをドミノサーバーに戻すと、ドミノサーバーはそこで指定された値を取得し、それをdomstatecookieと照合することに注意してください。そこで、relaystateフラグをドミノサーバーに返送しないことでこの問題を回避しました。

1
meleth