mad_nazgulPetro123,
Говорит ему cookie нужны.
Посмотрите какие cookie он передает/создает, попробуйте их подсунуть.
imho неее
Это вроде стандартный скрин для отлупа: "У меня ошибка, посмотрите там у себя что вы там делаете не то...."
Т.е. это наверно не отдаёт мне трейс из-за отсутстывия сертификата.
2. Вызов его идёт только через URL в котором в base64 всё сообщение. Куков никаких нет.

mad_nazgulНо у меня проблема с SSO была, что я не мог м/у редиректами корректно передать cookie.
ну тогда давайте вместе в понедельник.....если не заняты...всякое бывает....
- у меня фильтр перед JSP
- при заходе на эту страничку с защитой (методом фильтра) отправляется пост на idP сервер в формате XML+base64+подпись на пост.
- мой скрин где шибболле, говорит о том что ОН получив ЭТОТ запрос вывел ошибку показав тот скрин.
всё. Пока никакими куками тут не пахнет.
Возможно позже они появятся.

mad_nazgul,
OK
Вынужден ставить локально idP Shibbole для отладки.
- припробном запуске
https://localhost:8443/idp/status
выдаёт сначала фок что сертификат не доверенный.
Я его как обычно - Понимаю риск - Да - Да
и потом ошибка
SSL-узел не может верифицировать ваш сертификат. (Код ошибки: ssl_error_bad_cert_alert)
...
кто знает что за ошибка?
Кто на ком стоял и кому от кого нужен сертификат?

вопрос больше к админам, но может тут кто подскаже варианты.
Для тестирования пришлось вынести Shibbole на свой тестовый сервер с внешним IP http://AutoPOI.ru
Как пишут в сети, его развертывание совсем не для средних умов)). Но всё равно приходится).
В доках везде написано что нужен поддомен вида idp.yourdomain.com
http://www.cybera.ca/news-and-events/tech-radar/getting-started-on-shibboleth
Preparation раздел.
...
Сейчас сервер развёрнут и откликается:
https://autopoi.ru/idp/profile/Status
= OK
https://autopoi.ru/idp/Authn/UserPassword
= страничка с логин-пароль
Но, для запросов к нему он выдаёт конфиг с поддоменом


При установке сервера, код не даёт ввести домен без поддомена idp.
Отсюда и такая строка запроса.
...
Вопрос, как добавить поддомен по быстрому?
На Debian как написано правкой файла?
Или через DNS моего провайдера (сутки пройдут).

готов попробовать любые действия со своим сервером для создания поддомена))

вот в сети есть пример сервера для тестов по сабжу testshib.org
Он тоже выдаёт пример метаинформации для связи с idP:
https://idp.testshib.org/idp/shibboleth
где EntityDescriptor с поддоменом
(EntityDescriptor entityID=" https://idp.testshib.org/idp/shibboleth">)

пришёл Гений админ и всё решил.
Как временная мера для тестов достаточно hosts файл попправить на клиенте.
Сервер будет находится и резолвится.
Как временная мера правка клиента подойдёт. Счас проверим, поверит ли этому сам idP сервак.

OFF
no56892,
ну а почему бы не поизучать новые технологии). Тем более за деньги.
Неинтересно каждый день стоять на конвейере и клепать формочки.
Если тебе не интересен новый проект, то пора на пенсию).
OFF/2
А что? OpenSAML библиотека не подойдёт к НЕ шибболе?
В этой сфере всё очень запущено в энтерпрайзе.

no56892,
)) отдых после 6-ти само собой)
Я что то не заметил реализаций idP кроме этого Ш... в РФ.

no56892,
кстати, как там время зашивается?
Разница клиента и сервера 2 минуты. Если больше, то слой безопасности не пускает?
Т.е. второй запрос сохранённый в урл проходить не должен?
Совсем фигово для отладки.

no56892,
можешь вызвать мой сервер и проверить ответку, если есть время?