Ciao,
sto cercando di interfacciare tramite Shibboleth il mio SP con l’IDP di test (https://idp.spid.gov.it:8080).
Orbene, ho registrato il mio SP, generato il relativo metadata e configurato Shibboleth di conseguenza; quando tento di accedere a una risorsa protetta vengo redirezionato verso l’IDP dove però visualizzo un laconico messaggio di errore:
Error when processing the authentication request!
Please try login again.
E non posso fare null’altro.
Ecco un esempio di SAML request:
<samlp:AuthnRequest AssertionConsumerServiceURL="https://www.xxx.it/Shibboleth.sso/SAML2/POST" Destination="https://idp.spid.gov.it/samlsso" ForceAuthn="false" ID="_69b5a4d1786cb3bd2771d2119afb5429" IssueInstant="2018-08-31T10:42:53Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> <saml:Issuer Format="urn:oasis:names:tc:SAML:2.0:nameid-format:entity" NameQualifier="https://www.xxx.it">https://www.xxx.it</saml:Issuer> <samlp:NameIDPolicy AllowCreate="1" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient"/> <samlp:RequestedAuthnContext Comparison="exact"> <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef> </samlp:RequestedAuthnContext> </samlp:AuthnRequest>
Deduco che ci sia qualcosa di sbagliato ma non capisco cosa.
Specifico che ho un secondo SP, clone identico del primo, che si interfaccia senza problemi con l’IDP di collaudo di Regione Veneto utilizzando una SAML request analoga (chiaramente con entityID e AssertionConsumerServiceURL differenti)
Dalla documentazione deduco che i requisiti dei sue IDP dovrebbero essere identici, quindi brancolo un po’ nel buio…