Skip to Content.

cat-users - Re: [[cat-users]] [Support technique RENATER - Mobilité #64759] RE: eduroam CAT: Vous êtes invités à administrer un IdP

cat-users AT lists.geant.org

Subject: The mailing list for users of the eduroam Configuration Assistant Tool (CAT)

List archive


Re: [[cat-users]] [Support technique RENATER - Mobilité #64759] RE: eduroam CAT: Vous êtes invités à administrer un IdP


Chronological Thread 
    < Chronological >      < Thread >
  • From: "Dubravko Vončina via RT" <support AT renater.fr>
  • To: michel.bangil AT cirad.fr
  • Cc: cat-users AT lists.geant.org, philippe.granier AT cirad.fr
  • Subject: Re: [[cat-users]] [Support technique RENATER - Mobilité #64759] RE: eduroam CAT: Vous êtes invités à administrer un IdP
  • Date: Wed, 25 Oct 2017 16:53:36 +0200
Hello Michel,

From what I can see, the problem is caused by your IdP (login service) not providing NameID within <saml:Subject> ... </saml:Subject> part of the SAML authentication response.

Specifically, Subject part of your IdP response looks like:


<saml2:Subject>
    <saml2:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
         <saml2:SubjectConfirmationData Address="193.51.114.73" InResponseTo="_456674058b1e149e2f583ee26fe7ff2a8836a0a70d" NotOnOrAfter="2017-10-25T11:45:10.914Z" Recipient="https://monitor.eduroam.org/sp/module.php/saml/sp/saml2-acs.php/default-sp"/ >
    </saml2:SubjectConfirmation>
</saml2:Subject>


Instead, it should be something like:


<saml:Subject>
    <saml:NameID SPNameQualifier="https://monitor.eduroam.org/localhost/module.php/saml/sp/metadata.php/default-sp" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">somepersistentvalue</saml:NameID>
    <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <saml:SubjectConfirmationData NotOnOrAfter="2017-10-22T02:42:53Z" Recipient="https://monitor.eduroam.org/localhost/module.php/saml/sp/saml2-acs.php/default-sp" InResponseTo="_b3dbc131aabb85dd385f067c41fdc09d537bab997d"/>
    </saml:SubjectConfirmation>
</saml:Subject>


Unfortunatelly, I don't know why this happens, but your IdP seems to be the only one causing this error so I guess it' might be an IdP configuration issue?

Best regards,

Dubravko Voncina
Middleware and Data Services Department
University of Zagreb, University Computing Centre, www.srce.unizg.hr
dubravko.voncina AT srce.hr, tel: +385 9 8 2 19273, fax: +385 1 6165559




On 18 Oct 2017, at 17:33, Michel BANGIL <michel.bangil AT cirad.fr> wrote:

Bonsoir 
 
Apparemment oui :
 
Les attributs fournis par votre établissement auprès de ce service sont : 
 
Attributs (a↓z)
Valeur
affiliation
member AT cirad.fr;employee AT cirad.fr
displayName
Michel BANGIL
eppn
10187 AT cirad.fr
givenName
Michel
mail
michel.bangil AT cirad.fr
persistent-id
https://idp.cirad.fr/idp/shibboleth!https://test.federation.renater.fr/validation/ressource!dW5vNBD/n87sDKKRO7nEANwn7zA=
sn
Bangil
supannEtablissement
{CIRAD}DGDRD-DSI
unscoped-affiliation
member;e mployee
 
 
___________________________________________
Michel Bangil
CIRAD - Direction des Systèmes d'Information (DSI)
 
De : Yann B ecker via RT [mailto:support AT renater.fr] 
Envoyé : mercredi 18 octobre 2017 17:10
À : michel.bangil AT cirad.fr
Cc : cat-users AT lists.geant.org; philippe.granier AT cirad.fr
Objet : [Support technique RENATER - Mobilité #64759] RE: eduroam CAT: Vous êtes invités à administrer un IdP
 
pouvez-vous vérifier en appelant https://test.federation.renater.fr/validation/ressource
que votre IDP communique bien les attributs mail, displayName et persistent-id ?
< o:p class=""> 
Merci.
 
 
Le Mer 18 Oct 2017 15:04:28, michel.bangil AT cirad.fr a écrit :
> Bonjour
> 
> Merci pour cette invitation mais elle ne fonctionne pas.
> Ni avec l'URL qui embarque le jeton, ni avec l'URL sans le jeton.
>  Dans le 2 cas j'arrive sur un "Where Are You From", je m'authentifie
> sur le
>  SSO de mon établissement puis j'arrive sur une page d'erreur vide,
> blanche,
> ayant l'URL :
> https://monitor.eduroam.org/sp/module.php/saml/sp/saml2-
> acs.php/default-sp
>
> Quels sont les pré-requis ?
> ___________________________________________
> Michel Bangil
> CIRAD - Direction des Systèmes d'Information (DSI)
> 
>
> 
> 
> -----Message d'origine-----
> De : eduroam CAT Invitation System [mailto:monitor AT eduroam.org]
> Envoyé : mercredi 18 octobre 2017 14:54
> À : michel.bangil AT cirad.fr
> Objet : eduroam CAT: Vous êtes invités à administrer un IdP
> 
> Bonjour,
> 
> un administrateur du eduroam du fournisseur d'identité "CIRAD" vous a
> invité
> a administrer l'IdP avec lui. Cette invitation est valide pendant 24
> heures,
> i.e. jusqu’à 19/10/2017 12:53:39. Pour vous enregistrer comme
> administrateur
> pour cet IdP, merci de suivre ce lien:
> 
> https://cat.eduroam.org/admin/action_enrollment.php?token=7e864b757a408941af6a1c63a2d048e4b6bf5be8ed8c43d974fa0d0f8ae04e4ab02268668a17d857
> 
> Si le lien ne fonctionne pas, vous pouvez vous rendre sur l'interface
> d'administration eduroam CAT a
> 
> https://cat.eduroam.org/admin/
> 
> et entrez le jeton d'invitation
> > 7e864b757a408941af6a1c63a2d048e4b6bf5be8ed8c43d974fa0d0f8ae04e4ab02268668a17d857
>  manuellement. Merci de ne pas répondre à ce courriel, ceci est une
> adresse
> d'envoi uniquement.
> 
> Do NO
 T forwar
 d the mail before the token has expired - or the
> recipients may
> be able to consume the token on your behalf!
> 
> Nous vous souhaitons beaucoup de plaisir avec le eduroam CAT.
>
& gt; Cordialement,
> 
> Votre amicale équipe opérationnelle de eduroam
 
 
-- 
-------------------------------------------------------------
Yann Becker
     
Services Réseau aux Utilisateurs / Support aux utilisateurs
Network Services Operations / Customers technical support
 
            R
 éseau N
 ational de Télécommunications
     pour la Technologie, l'Enseignement et la Recherche
 
GIP RENATER            | E-mail: support-reseau AT renater.fr
23-25 rue Daviel       | http://www.renater.fr  
75013 PARIS FRANCE
 
--------------------------------------------------------------
To unsubscribe, send this message: mailto:sympa AT lists.geant.org?subject=unsubscribe%20cat-users
Or use the following link: https://lists.geant.org/sympa/sigrequest/cat-users

  • Re: [[cat-users]] [Support technique RENATER - Mobilité #64759] RE: eduroam CAT: Vous êtes invités à administrer un IdP, Dubravko Vončina via RT, 10/25/2017

Archive powered by MHonArc 2.6.19.

Top of Page