【问题标题】:Unable to lookup idp connection metadata for entityid='http://sp.example.com/sp'无法查找 entityid='http://sp.example.com/sp' 的 idp 连接元数据
【发布时间】:2014-04-28 19:01:49
【问题描述】:

我有服务提供商应用程序http://sp.example.com/sp,当用户通过浏览器访问它时,用户会从我的 SP 应用程序重定向到 IdP 服务器,该服务器在 PingFederate 服务器上配置,SP 连接 (http://sp.example.com/sp) 作为实体 ID。用户通过带有SAML AuthnRequest 的 SAML 协议重定向到 IdP。但是在 Ping 服务器上,我不断收到这个错误,上面写着

unable to lookup idp connection metadata for entityid='http://sp.example.com/sp'

有人在使用 Ping 之前遇到过类似的错误吗?这是 SP 发起的 SSO。

我发送给 PingFederate 的请求

<?xml version="1.0" encoding="UTF-8"?><samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="https://sp.example.com/sp" Destination="https://idp.com/sp/ACS.saml2" ForceAuthn="false" ID="_93313f7882ff7b3274da46502c4cf072" IsPassive="false" IssueInstant="2014-04-29T15:15:04.666Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Version="2.0"><samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">https://sp.example.com/sp</samlp:Issuer><saml2p:NameIDPolicy xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AllowCreate="true" SPNameQualifier="https://sp.example.com/sp"/><saml2p:RequestedAuthnContext xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" Comparison="exact"><saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml2p:RequestedAuthnContext></samlp:AuthnRequest>

【问题讨论】:

  • 你能把你的元数据贴在某个地方吗,gist.github.com 可能吗?
  • 我没有使用 Ping,但听起来您的 idp 元数据有问题。你能把它正确导入 Ping 吗?
  • 是的,我将元数据和所有详细信息发送给 Ping 支持,他们没有发现任何问题。他们还不能解决问题。
  • 正如您的支持工程师在您的案例中指出的那样,您在 SP 配置中定义的目的地是错误的。它需要指向idp.com/idp/SSO.saml2,而不是指向idp.com/sp/ACS.saml2。和你一起工作的工程师非常好,她知道她在说什么。我敢打赌,她为你安排的电话会议会解决所有问题。

标签: saml-2.0 pingfederate


【解决方案1】:

您可以在 Ping 的支持中心找到可能的解决方案:

https://www.pingidentity.com/support/solutions/index.cfm/SSO-fails-with-Unable-to-lookup-sp-or-idp-connection-metadata-for-entityid

在 server.log 中,错误“无法查找 sp 连接元数据 for entityid”。这通常表明存在 中配置的合作伙伴实体 ID(连接 ID)不匹配 IDP 端 PingFederate SP 连接和实际实体 ID 伙伴,因此 PF 无法确定与哪个 SP 连接 当 SAML AuthnRequest 来自 SP 发起的 SP 时使用 SSO 用例。

https://www.pingidentity.com/support/solutions/index.cfm/Unable-to-lookup-sp-connection-metadata-for-entityid

由于实体 ID 区分大小写,如果 为合作伙伴的实体 ID(连接 ID)字段输入的值 PingFederate 管理控制台和合作伙伴发送的内容 SAML 协议消息,则 SSO 尝试将失败并显示 “无法查找 sp(或 idp)连接”错误消息。

解决办法是验证Partner的Entity ID(Connection ID) 设置与合作伙伴在 SAML 中发送的内容完全匹配 消息。

【讨论】:

  • 我已经从 Ping 检查了这些解决方案,但这些解决方案并没有帮助解决问题。我唯一发现可疑的是错误显示“无法查找实体 id='sp.example.com/sp' 的 idp 连接元数据”以及我在 Ping 中的 SP 连接中使用的实体 ID 作为实体 ID。我不确定我是否在 Ping 中进行了正确的配置
  • 如果我正确理解您的设置,那么您的 SP 使用 PingFederate?您能否向我们展示您正在生成并发送给 IDP (PF) 的 AuthnRequest 是什么样的?
  • @Ian 我发布了 AuthnRequest。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2023-04-11
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2018-07-29
  • 1970-01-01
相关资源
最近更新 更多