You may check the value of employeeID is coming correctly from AD with ldapsearch. Also you can check the the attribute values with aacli command from IdP and see the corresponding debug level idp process logs.<br><br>Process logs can tell you what&#39;s happening when you are running aacli command.<br>
<br>Here is the info about aacli.<br><br><a href="https://wiki.shibboleth.net/confluence/display/SHIB2/AACLI">https://wiki.shibboleth.net/confluence/display/SHIB2/AACLI</a><br><br>Thanks,<br>-Ashok<br><br><br><div class="gmail_quote">
On Wed, Sep 7, 2011 at 8:58 AM, Jean Robertson <span dir="ltr">&lt;<a href="mailto:jean.robertson@mcgill.ca">jean.robertson@mcgill.ca</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
On September 7, 2011 11:19:10 am Chad La Joie wrote:<br>
&gt; No, what I said is you need to look at the logs to see what it says is<br>
&gt; happening.  If your attribute definition is being invoked and produces<br>
&gt; an attribute to be encoded it&#39;s going to tell you that.<br>
<br>
It does not tell me that. It does not tell me anything.<br>
<br>
The only thing it says is that the AD LDAP server provided the IdP with the<br>
data.<br>
<br>
After that, nothing.<br>
<br>
&gt; A common<br>
&gt; problem in this area is case-sensitivity, but if the single line of<br>
&gt; log that you give is accurate then you have that right.<br>
<br>
I have checked case sensitivity of the incoming attribute (employeeID) and my<br>
attempt at an outgoing attribute (employeeNumber).<br>
<br>
It all seems fine to me: I see exactly the same name in the attribute-<br>
filter.xml file.<br>
<br>
This is shib IdP version 2.1.5, if that makes a difference.<br>
<br>
Jean<br>
<br>
<br>
<br>
<br>
<br>
&gt; On Wed, Sep 7, 2011 at 10:55, Jean Robertson &lt;<a href="mailto:jean.robertson@mcgill.ca">jean.robertson@mcgill.ca</a>&gt;<br>
<div><div></div><div class="h5">wrote:<br>
&gt; &gt; Hello,<br>
&gt; &gt;<br>
&gt; &gt; On September 7, 2011 09:38:37 am Chad La Joie wrote:<br>
&gt; &gt;&gt; You&#39;ll have to check your logs on debug.<br>
&gt; &gt;<br>
&gt; &gt; I have set the Shibboleth-Process log to ALL to get all messages.<br>
&gt; &gt;<br>
&gt; &gt;&gt; It will tell you which<br>
&gt; &gt;&gt; attributes it gets back from LDAP,<br>
&gt; &gt;<br>
&gt; &gt; The idp-process.log says:<br>
&gt; &gt;<br>
&gt; &gt; LdapDataConnector:882] - Found the following attribute:<br>
&gt; &gt; employeeID=[150998702]<br>
&gt; &gt;<br>
&gt; &gt;&gt; how many values it has,<br>
&gt; &gt;<br>
&gt; &gt; It only mentions the one value.<br>
&gt; &gt;<br>
&gt; &gt;&gt; if those values are used by a given attribute definition,<br>
&gt; &gt;<br>
&gt; &gt; I specified that the value is used by the employeeNumber definition in<br>
&gt; &gt; the attibute-resolver.xml file. I am not sure I have to specify it<br>
&gt; &gt; elsewhere. I am not sure that I have properly specified it.<br>
&gt; &gt;<br>
&gt; &gt;&gt; and if the created<br>
&gt; &gt;&gt; attributes are released or not.<br>
&gt; &gt;<br>
&gt; &gt; It is not released.<br>
&gt; &gt; There is nothing in the log file that tells me where the value went or if<br>
&gt; &gt; it was used in any way.<br>
&gt; &gt;<br>
&gt; &gt; Jean<br>
&gt; &gt;<br>
&gt; &gt;&gt; On Wed, Sep 7, 2011 at 09:13, Jean Robertson &lt;<a href="mailto:jean.robertson@mcgill.ca">jean.robertson@mcgill.ca</a>&gt;<br>
&gt; &gt;<br>
&gt; &gt; wrote:<br>
&gt; &gt;&gt; &gt; Hello,<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; On September 6, 2011 05:26:18 pm Brent Putman wrote:<br>
&gt; &gt;&gt; &gt;&gt; On 9/6/11 3:58 PM, Jean Robertson wrote:<br>
&gt; &gt;&gt; &gt;&gt; &gt; I have an attribute-resolver.xml snippet that looks like this:<br>
&gt; &gt;&gt; &gt;&gt; &gt;     &lt;resolver:AttributeDefinition id=&quot;employeeNumber&quot;<br>
&gt; &gt;&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;         xsi:type=&quot;Simple&quot;<br>
&gt; &gt;&gt; &gt;&gt; &gt; xmlns=&quot;urn:mace:shibboleth:2.0:resolver:ad&quot;<br>
&gt; &gt;&gt; &gt;&gt; &gt; sourceAttributeID=&quot;employeeID&quot;&gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;         &lt;resolver:Dependency ref=&quot;myLDAP&quot; /&gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;         &lt;resolver:AttributeEncoder xsi:type=&quot;SAML1String&quot;<br>
&gt; &gt;&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;             xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot;<br>
&gt; &gt;&gt; &gt;&gt; &gt;             name=&quot;urn:mace:dir:attribute-def:employeeNumber&quot; /&gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;         &lt;resolver:AttributeEncoder xsi:type=&quot;SAML2String&quot;<br>
&gt; &gt;&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;             xmlns=&quot;urn:mace:shibboleth:2.0:attribute:encoder&quot;<br>
&gt; &gt;&gt; &gt;&gt; &gt;             name=&quot;urn:oid:2.16.840.1.113730.3.1.3&quot;<br>
&gt; &gt;&gt; &gt;&gt; &gt;             friendlyName=&quot;employeeNumber&quot; /&gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;&gt; &gt;     &lt;/resolver:AttributeDefinition&gt;<br>
&gt; &gt;&gt; &gt;&gt;<br>
&gt; &gt;&gt; &gt;&gt; At first glance that looks ok.  Did you remember to also add or<br>
&gt; &gt;&gt; &gt;&gt; update a rule to attribute-filter.xml to actually release the<br>
&gt; &gt;&gt; &gt;&gt; attribute to the SP(s) you are using to test?<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; Thanks for looking at this.<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; Yes.<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; Here is the rule:<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;    &lt;AttributeFilterPolicy id=&quot;releaseToShibSP&quot;&gt;<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; ..... lots cut out ....<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;        &lt;AttributeRule attributeID=&quot;employeeNumber&quot;&gt;<br>
&gt; &gt;&gt; &gt;                &lt;PermitValueRule xsi:type=&quot;basic:ANY&quot; /&gt;<br>
&gt; &gt;&gt; &gt; &lt;/AttributeRule&gt;<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;    &lt;/AttributeFilterPolicy&gt;<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; The weird thing is that the attribute employeeID (the source<br>
&gt; &gt;&gt; &gt; attribute) appears only once in the debug logs. Only to say that it<br>
&gt; &gt;&gt; &gt; was found.<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; employeeNumber (what I am trying to pass to the test SP) does not<br>
&gt; &gt;&gt; &gt; appear anywhere.<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; It does not appear later in the logs, with the other attributes when<br>
&gt; &gt;&gt; &gt; it comes time to resolve them<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; For example of a successfully resolved attribute:<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; Resolving attribute manager for principal <a href="mailto:jean.robertson@mcgill.ca">jean.robertson@mcgill.ca</a><br>
&gt; &gt;&gt; &gt; Resolved attribute manager containing 1 values<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; It does not appear either in the list of attributes sent to the test<br>
&gt; &gt;&gt; &gt; SP<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; ShibbolethAttributeFilteringEngine:131] - Filter policy<br>
&gt; &gt;&gt; &gt; releaseToShibSP is active for principal jean.robertson<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; Jean<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; --<br>
&gt; &gt;&gt; &gt; Jean Robertson, McGill University (514) 398-8117<br>
&gt; &gt;&gt; &gt;<br>
&gt; &gt;&gt; &gt; --<br>
&gt; &gt;&gt; &gt; To unsubscribe from this list send an email to<br>
&gt; &gt;&gt; &gt; <a href="mailto:users-unsubscribe@shibboleth.net">users-unsubscribe@shibboleth.net</a><br>
&gt; &gt;<br>
&gt; &gt; --<br>
&gt; &gt; Jean Robertson, McGill University (514) 398-8117<br>
<br>
--<br>
Jean Robertson, McGill University (514) 398-8117<br>
<br>
--<br>
To unsubscribe from this list send an email to <a href="mailto:users-unsubscribe@shibboleth.net">users-unsubscribe@shibboleth.net</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br><br><br><br>