フィードバックを送信
legacy-knowledge-base
公開されました Jul. 2, 2025

署名の検証やKeyInfo由来の認証情報を用いた信頼の確立に失敗した。

投稿者

Kanchan Bisht

knowledge-article-header-disclaimer-how-to

knowledge-article-header-disclaimer

legacy-article

learn-legacy-article-disclaimer-text

問題

  • SAMLが突然動作しなくなり、どのユーザーもログインできない。
  • Liferayのコンソールに以下のようなエラーがあります: 
    DEBUG [ajp-nio-172.1.129.26-8080-exec-351][BaseSignatureTrustEngine:200] Attempting to establish trust of KeyInfo-derived credential
    DEBUG [ajp-nio-172.1.129.26-8080-exec-351][BaseSignatureTrustEngine:205] Failed to establish trust of KeyInfo-derived credential
    DEBUG [ajp-nio-172.1.129.26-8080-exec-351][BaseSignatureTrustEngine:216] Failed to verify signature and/or establish trust using any KeyInfo-derived credentials
    DEBUG [ajp-nio-172.1.129.26-8080-exec-351][ExplicitKeySignatureTrustEngine:116] Attempting to verify signature using trusted credentials
    DEBUG [ajp-nio-172.1.129.26-8080-exec-351][ExplicitKeySignatureTrustEngine:124] Failed to verify signature using either KeyInfo-derived or directly trusted credentials
    DEBUG [ajp-nio-172.1.129.26-8080-exec-351][SAMLProtocolMessageXMLSignatureSecurityHandler:142] Message Handler:  Validation of protocol message signature failed for context issuer 'MOSPI_WSO2_IS', message type: {urn:oasis:names:tc:SAML:2.0:protocol}Response
    DEBUG [ajp-nio-172.1.129.26-8080-exec-351][BaseSamlStrutsAction:56] com.liferay.saml.runtime.SamlException: org.opensaml.messaging.handler.MessageHandlerException: Validation of protocol message signature failed
    com.liferay.saml.runtime.SamlException: org.opensaml.messaging.handler.MessageHandlerException: Validation of protocol message signature failed

Environment

  • Liferay DXP 7.2 as SP
  • IdPとしてのWSO2

解決策

  • まず、SAML デバッグ・レベルのログを有効にします(コントロールパネル > サーバ管理 > ログレベル)。これは、分析のために上記のエラーを取得するのに役立ちます。
  • 上記のエラーは、 、SAML 対応の ID またはサービス・プロバイダが互いに相互作用する方法に問題があることを示している。
  • このシナリオのメタデータファイルには、ユーザー側で期限切れとなった証明書情報が含まれています。 そのため、この問題を絞り込んで解決するためには、証明書を変更し、新しいメタデータを生成して交換する必要があります。
  • ただし、証明書を回避するために、現在の構成で直接メタデータを生成してみてください。

追加情報

  • SAML メタデータは、SAML 対応の ID またはサービス・プロバイダとの対話に必要な情報を含む XML 文書である。 この文書には、エンドポイントのURL、対応するバインディングの情報、識別子、公開鍵などが含まれる。 通常、1つのメタデータ・ドキュメントが自分のサービス・プロバイダー用に生成され、シングルサインオンを有効にしたいすべてのIDプロバイダーに送信されます。 同様に、各 ID プロバイダは、サービスプロバイダ・アプリケーションにインポートするために、独自のメタデータを利用できるようにします。
did-this-article-resolve-your-issue
legacy-knowledge-base
did-this-article-resolve-your-issue