PingFederate 无代理序列期间出错
Error During PingFederate Agentless Sequence
我们的一些用户在其 IdP 进行身份验证后在重定向序列中遇到以下错误页面。
"Unexpected exception occurred in Response Handling: null"
Partner: ...
Target: ...
我认为这是来自服务器日志的相应信息。
2015-07-16 07:48:53,458 DEBUG [com.pingidentity.jgroups.MuxInvocationHandler] invocation of saveState on InterReqStateMgmtMapImpl state map size:215 attributes map size4 w/args: [ZkyN3LwNSjurZyfIewu1Kgjbgl7HrB, State(1437050933419){
inMsgCtx=null
outMsgCtx=OutMessageContext
XML: <samlp:AuthnRequest Version="2.0" ID="E6_0yldGrt0iqNKfUpArog6DG8G" IssueInstant="2015-07-16T12:48:53.419Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">#issuer%</saml:Issuer>
<samlp:NameIDPolicy AllowCreate="true"/>
</samlp:AuthnRequest>
entityId: <Id> (IDP)
Binding: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
relayState: ZkyN3LwNSjurZyfIewu1Kgjbgl7HrB
Endpoint: <endpoint>
SignaturePolicy: DO_NOT_SIGN
parameters=null}] returned null
是否有明显的地方可以查找更多详细信息?这种情况发生在我们大约 10% 的用户身上,并且似乎在不同设备上关注他们。
我明白问题出在哪里了。我们正在使用来自 IdP 的 SAML 主题进行帐户链接。事实证明,IdP 的许多帐户没有映射到 NameID 的 LDAP 属性。所以我们在主题中收到没有任何数据的 SAML 断言。
了解在哪里看是关键。 audit.log 文件显示一般 "failure"。然后在 server.log 文件中查找相应的 activity 详细信息。然后检查日志中相应的 SAML 断言以确定问题所在。困难的部分是注意到数据中的遗漏。 eye/brain 更难抓住恕我直言。
如果我们有一个选项可以在发生这种情况时将用户定向到自定义页面而不是特定于 Ping 的错误页面,那将会很有用。
我们的一些用户在其 IdP 进行身份验证后在重定向序列中遇到以下错误页面。
"Unexpected exception occurred in Response Handling: null"
Partner: ...
Target: ...
我认为这是来自服务器日志的相应信息。
2015-07-16 07:48:53,458 DEBUG [com.pingidentity.jgroups.MuxInvocationHandler] invocation of saveState on InterReqStateMgmtMapImpl state map size:215 attributes map size4 w/args: [ZkyN3LwNSjurZyfIewu1Kgjbgl7HrB, State(1437050933419){
inMsgCtx=null
outMsgCtx=OutMessageContext
XML: <samlp:AuthnRequest Version="2.0" ID="E6_0yldGrt0iqNKfUpArog6DG8G" IssueInstant="2015-07-16T12:48:53.419Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">#issuer%</saml:Issuer>
<samlp:NameIDPolicy AllowCreate="true"/>
</samlp:AuthnRequest>
entityId: <Id> (IDP)
Binding: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
relayState: ZkyN3LwNSjurZyfIewu1Kgjbgl7HrB
Endpoint: <endpoint>
SignaturePolicy: DO_NOT_SIGN
parameters=null}] returned null
是否有明显的地方可以查找更多详细信息?这种情况发生在我们大约 10% 的用户身上,并且似乎在不同设备上关注他们。
我明白问题出在哪里了。我们正在使用来自 IdP 的 SAML 主题进行帐户链接。事实证明,IdP 的许多帐户没有映射到 NameID 的 LDAP 属性。所以我们在主题中收到没有任何数据的 SAML 断言。
了解在哪里看是关键。 audit.log 文件显示一般 "failure"。然后在 server.log 文件中查找相应的 activity 详细信息。然后检查日志中相应的 SAML 断言以确定问题所在。困难的部分是注意到数据中的遗漏。 eye/brain 更难抓住恕我直言。
如果我们有一个选项可以在发生这种情况时将用户定向到自定义页面而不是特定于 Ping 的错误页面,那将会很有用。