Yleisiä ongelmia kirjautumisessa
Erilaisia virheilmoituksia ja niiden mahdollisia syitä löytyy Shibbolethin dokumentaatiosta osoitteessa https://wiki.shibboleth.net/confluence/display/SP3/CommonErrors
Alle on myös kerätty muutamia HY:llä vastaan tulleita virheitä:
SP:n antama virhe: opensaml::FatalProfileException
Virheilmoitus
opensaml::FatalProfileException
The system encountered an error at Wed May 28 10:52:11 2017
To report this problem, please contact the site administrator at <contactemail>.
Please include the following message in any email:
opensaml::FatalProfileException at (https://<service>.helsinki.fi/Shibboleth.sso/SAML2/POST)
Your client's current address (x.x.x.x) differs from the one used when you authenticated to your identity provider. To correct this problem, you may need to bypass a proxy server. Please contact your local support staff or help desk for assistance.
Syy
Käyttäjän osoite on vaihtunut sen jälkeen, kun käyttäjä on kirjautunut IdP:lle. Palvelun konfiguraatiossa on <Sessions> kohdassa checkAddress päällä, joka vaatii saman osoitteen. Vaikka tämä voi olla hyödyllistä tietoturvan kannalta, voi tämän myös estää kirjautumisen joissain tapauksissa (NAT, proxy, IPv6-tuki vain IdP:llä tai palvelulla).
https://wiki.shibboleth.net/confluence/display/SP3/Sessions
HY:n verkossa tämä voi tapahtua esimerkiksi tilanteessa, jossa käytössä on sekä kiinteä verkkoyhteys että WLAN samaan aikaan. Mobiilikäyttäjillä on usein sekä WLAN ja 4G käytössä ja myös näissä yhteys eri palveluihin voi ohjautua eri reittejä pitkin.
IdP:n antama virhe: Ei voida vastata
Virheilmoitus
WWW-kirjautumispalvelu - Ei voida vastata
Kirjautumispalvelu ei pystynyt vastaamaan kirjautumispyynnön lähettäneelle sovellukselle yhteensopivalla tavalla. Tämä johtuu yleensä sovelluksen vääristä asetuksista, ja tilanne tulee ilmoittaa sovelluksen ylläpitäjille tai omistajalle.
Syy
Yleensä johtuu sovelluksen varmenteiden vaihtamisesta, ilman että muutosta on tehty IdP:lle. Kannattaa tarkastaa sovelluksen käyttämä varmenne ja varmistaa, ettei se ole vaihtunut. Esim. HTTPS-varmenne on vaihdettu ja shibd:n käyttämä varmenne on linkattu siihen.
IdP:n antama virhe: Viestiturvallisuusvirhe
Virheilmoitus
WWW-kirjautumispalvelu - Viestiturvallisuusvirhe
Pyyntöä ei voida toteuttaa, koska vastaanotettu viesti ei täytä kirjautumispalvelun turvallisuusvaatimuksia
Syy
Yleensä johtuu siitä että shibd-prosessilla ole oikeuksia varmenteeseen. Kannattaa tarkastaa Shibboleth SP:n lokista käynnistyksen aikana, että sovellus saa ladattua varmenteen oikein. Jos palvelu on toiminut aiemmin, katso ettei esim. HTTPS-varmenne ole vaihdettu ja shibd:n käyttämä varmenne on linkattu siihen. Jos näin on, aseta shibd:n varmenne takaisin vanhoihin varmenteisiin ja aloita prosessi varmenteiden vaihtamiseksi itseallekirjoitettuihin.