Ошибка 500 при попытке доступа к метаданным Shibboleth SP

Question

Я пытаюсь настроить Shibboleth SP с помощью IdP samltest.id.Моя установка выглядит следующим образом:

Windows Server 2008 R2, IIS7.5, Shibboleth SP 3.0

У меня почти все работает - при попытке доступа к защищенным страницам он правильно перенаправляет пользователяна страницу samltest, и samltest возвращает правильную ошибку «Служба веб-входа - неподдерживаемый запрос», поскольку я не настроил SP с samltest.

Я пытаюсь использовать https://samltest.id/upload.php для загрузки своегоконфигурация, но в этот момент я бью стену.Опция извлечения не работает вообще, и я уверен, что это потому, что файл метаданных просто не генерируется.Попытка сгенерировать указанный файл из https://{MySite}/Shibboleth.sso/Metadata дает ошибку 500, и я нигде не могу найти никакой информации, чтобы сказать мне, почему это происходит.

Я проверил средство просмотра событий Windows, IIS LogFiles, shibdфайл журнала - ничто не указывает на то, что я сделал неправильно.

Вот урезанная версия моего файла shibboleth.xml, на случай, если что-то очевидно, я пропускаю:

<SPConfig xmlns="urn:mace:shibboleth:3.0:native:sp:config" xmlns:conf="urn:mace:shibboleth:3.0:native:sp:config" clockSkew="180">
<OutOfProcess tranLogFormat="%u|%s|%IDP|%i|%ac|%t|%attr|%n|%b|%E|%S|%SS|%L|%UA|%a" />
<InProcess>
    <ISAPI normalizeRequest="true" safeHeaderNames="true">
        <Site id="{MySiteID}" name="{MySite}" scheme="https" port="443"/>
    </ISAPI>
</InProcess>
<RequestMapper type="Native">
    <RequestMap>
        <Host name="{MySite}">
            <Path name="content" authType="shibboleth" requireSession="true"/>
        </Host>
    </RequestMap>
</RequestMapper>
<ApplicationDefaults entityID="https://{MySite}/shibboleth" REMOTE_USER="eppn subject-id pairwise-id persistent-id" cipherSuites="DEFAULT:!EXP:!LOW:!aNULL:!eNULL:!DES:!IDEA:!SEED:!RC4:!3DES:!kRSA:!SSLv2:!SSLv3:!TLSv1:!TLSv1.1">
    <Sessions lifetime="28800" timeout="3600" relayState="ss:mem" checkAddress="true" handlerSSL="true" cookieProps="https">
        <SSO entityID="https://samltest.id/saml/idp">SAML2</SSO>
        <Logout>SAML2 Local</Logout>
    </Sessions>
    <Errors supportContact="{MyEmail}" helpLocation="/error.aspx" styleSheet="/styles/style.css"/>
<MetadataProvider type="XML" validate="true" url="https://samltest.id/saml/idp" backingFilePath="SAMLtest.xml"></MetadataProvider>          
    <AttributeExtractor type="XML" validate="true" reloadChanges="false" path="attribute-map.xml"/>
    <AttributeFilter type="XML" validate="true" path="attribute-policy.xml"/>
    <CredentialResolver type="File" use="signing" key="sp-signing-key.pem" certificate="sp-signing-cert.pem"/>
    <CredentialResolver type="File" use="encryption" key="sp-encrypt-key.pem" certificate="sp-encrypt-cert.pem"/>
</ApplicationDefaults>
<SecurityPolicyProvider type="XML" validate="true" path="security-policy.xml"/>
<ProtocolProvider type="XML" validate="true" reloadChanges="false" path="protocols.xml"/>

Если у кого-нибудь есть советы по поводу того, где я могу посмотреть, я бы с удовольствием.

Answer 1

Для любого, кто наткнулся на этот вопрос, есть целая куча «Конечно» вещей, которые я пропустил.

Для начала, страницы Shibboleth.sso доступны только изнутри самого сервера.Я пытался получить к ним доступ извне, и по умолчанию внешние запросы к этим страницам блокировались.

Как только я попытался получить к ним доступ с сервера, я получил другую ошибку - «Обработчик Shibboleth вызывается приненастроенное местоположение ".Причина этого заключается в том, что в моем файле shibboleth2.xml у меня не было сопоставлений обработчиков для путей, к которым я пытался получить доступ.Например, страница / Metadata требует отображения обработчика, такого как:

<Handler type="MetadataGenerator" Location="/Metadata" signing="false"/>

(не совсем уверен, что делает запись signature = "false", я просто оставил ее как есть)