PingFederate无代理序列期间出错

时间:2015-07-16 13:20:06

标签: pingfederate

我们的一些用户在对其身份验证进行身份验证后,在重定向过程中遇到以下错误页面。

"Unexpected exception occurred in Response Handling: null"
Partner: ...
Target: ...

我认为这是服务器日志中的相应信息。

2015-07-16 07:48:53,458  DEBUG [com.pingidentity.jgroups.MuxInvocationHandler] invocation of saveState on InterReqStateMgmtMapImpl state map size:215 attributes map size4 w/args: [ZkyN3LwNSjurZyfIewu1Kgjbgl7HrB, State(1437050933419){
inMsgCtx=null
outMsgCtx=OutMessageContext
XML: <samlp:AuthnRequest Version="2.0" ID="E6_0yldGrt0iqNKfUpArog6DG8G" IssueInstant="2015-07-16T12:48:53.419Z" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">#issuer%</saml:Issuer>
    <samlp:NameIDPolicy AllowCreate="true"/>
</samlp:AuthnRequest>
entityId: <Id> (IDP)
Binding: urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect
relayState: ZkyN3LwNSjurZyfIewu1Kgjbgl7HrB
Endpoint: <endpoint>
SignaturePolicy: DO_NOT_SIGN

parameters=null}] returned null

是否有明显的地方可以查找更多详细信息?这种情况发生在大约10%的用户身上,并且似乎在设备之间跟随他们。

1 个答案:

答案 0 :(得分:0)

我弄清楚问题是什么。我们正在使用来自IdP的SAML主题进行帐户关联。事实证明,IdP的许多帐户都没有将LDAP属性映射到填充的NameID。所以我们在主题中没有任何数据的情况下接收SAML断言。

了解要去哪里才是关键。 audit.log文件显示一般&#34;失败&#34;。然后,在server.log文件中查找相应的活动详细信息。然后,检查日志中相应的SAML断言,以确定问题所在。困难的部分是注意到数据中的遗漏。对于眼睛/大脑来说,抓住imho更难。

如果我们有一个选项可以在发生这种情况时将用户引导到自定义页面而不是特定于Ping的错误页面,那将非常有用。