Résolution des problèmes courants

Cette page énumère un certain nombre de messages d'erreurs courants d'un fournisseur de service ou d'identité Shibboleth, de façon à faciliter le diagnostic et la résolution des problèmes, dans le contexte spécifique du service de fédération d'identité assuré par RENATER.

Cette page n'a cependant pas vocation à se substituer à la documentation fournie par l'éditeur, plus générique et plus exhaustive, qui est accessible ici:

Fournisseur de service

A valid authentication statement was not found in the incoming message

Dans la majorité des cas, ce message d'erreur, visible à la fois de l'utilisateur final sur la page d'erreur du SP, et dans les logs de celui-ci, correspond à un problème de déchiffrement de la réponse de l'IdP. Soit le SP n'est pas capable gérer le chiffrement, soit il utilise un autre certificat que celui annoncé à l'IdP via les métadonnées de la fédération.

La confirmation de ce diagnostic est relativement simple, il suffit de comparer les métadonnées exportées automatiquement par le SP, le plus souvent à l'adresse http://mon.service.tld/Shiboleth.sso/Metadata, et qui reflètent sa configuration réelle, avec celles incluses dans les métadonnées de la fédération, qu'il faut récupérer à l'adresse de publication, et qui sont utilisées par les IdPs pour savoir comment communiquer avec lui.

Aux différences de formatage près (les espaces avant et après, et les retours chariots), la valeur en base 64 du certificat annoncé pour l'usage chiffrement doit être strictement le même pour que la communication fonctionne.

<md:KeyDescriptor use="encryption">
  <ds:KeyInfo>
    <ds:X509Data>
      <ds:X509Certificate>MIIC9DC...
...
...==</ds:X509Certificate>
    </ds:X509Data>
  </ds:KeyInfo>
</md:KeyDescriptor>

Si ce n'est pas le cas, il faut corriger la déclaration de l'entité sur le guichet de la fédération, et attendre les délais habituels de propagation des changements. Attention, seul le certificat courant est publié dans les métadonnées avec un usage chiffrement, le certificat temporaire n'est annoncé que pour un usage de signature.