1

我有服务提供商应用程序http://sp.example.com/sp,当用户通过浏览器访问它时,用户从我的 SP 应用程序重定向到 IdP 服务器,该服务器在 PingFederate 服务器上配置,SP 连接(http://sp.example.com/sp)作为实体 id . 用户通过 SAML 协议重定向SAML AuthnRequest到 IdP。但是在 Ping 服务器上,我不断收到这个错误,上面写着

unable to lookup idp connection metadata for entityid='http://sp.example.com/sp'

有人在使用 Ping 之前遇到过类似的错误吗?这是 SP 发起的 SSO。

请求我发送到 PingFederate

<?xml version="1.0" encoding="UTF-8"?><samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="https://sp.example.com/sp" Destination="https://idp.com/sp/ACS.saml2" ForceAuthn="false" ID="_93313f7882ff7b3274da46502c4cf072" IsPassive="false" IssueInstant="2014-04-29T15:15:04.666Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Version="2.0"><samlp:Issuer xmlns:samlp="urn:oasis:names:tc:SAML:2.0:assertion">https://sp.example.com/sp</samlp:Issuer><saml2p:NameIDPolicy xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AllowCreate="true" SPNameQualifier="https://sp.example.com/sp"/><saml2p:RequestedAuthnContext xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" Comparison="exact"><saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml2p:RequestedAuthnContext></samlp:AuthnRequest>
4

1 回答 1

4

您可以在 Ping 的支持中心找到可能的解决方案:

https://www.pingidentity.com/support/solutions/index.cfm/SSO-fails-with-Unable-to-lookup-sp-or-idp-connection-metadata-for-entityid

在 server.log 中,看到错误“无法查找实体 ID 的 sp 连接元数据”。这通常表明 IDP 侧 PingFederate SP Connection 中配置的 Partner Entity ID(Connection ID)与伙伴的实际实体 ID 不匹配,因此 PF 无法确定 SAML 时使用哪个 SP Connection AuthnRequest 来自 SP 发起的 SSO 用例中的 SP。

https://www.pingidentity.com/support/solutions/index.cfm/Unable-to-lookup-sp-connection-metadata-for-entityid

由于实体 ID 区分大小写,如果在 PingFederate 管理控制台中为合作伙伴的实体 ID(连接 ID)字段输入的值与合作伙伴在 SAML 协议消息中发送的内容不匹配,则 SSO 尝试将失败并显示“无法查找 sp(或 idp)连接”错误消息。

解决方案是验证合作伙伴的实体 ID(连接 ID)设置与合作伙伴在 SAML 消息中发送的内容完全匹配。

于 2014-04-28T19:12:52.023 回答