<div dir="ltr"><div>Thanks for the info I tend to stay away from validuntil commands in my config but this did get rid on the first metadata loading error. In general there is something missing between our current 3.2.1 idp version and 3.4.6 version in that the metadata will not load. This newest error doesnt make sense because the metadata-providers.xml is valid and well formed.<br></div><div><br></div><div><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Scott Gilbert</div><div>IAM System Admin</div><div>ETS Enterprise Technology Services</div><div>University of California Santa Barbara</div><div><br></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Nov 28, 2019 at 2:33 AM Alan Buxey <<a href="mailto:alan.buxey@myunidays.com">alan.buxey@myunidays.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">hi,<br>
<br>
> The previous sysadmin got the shib service to run without the incommon validation cert, and just the url for the incommon metadata is in metadata-providers.xml. I was suprised to discover this as I diagnosed this error.<br>
<br>
<br>
well, you can do that - but that breaks one of the key trust/security<br>
principles of SAML federation , as someone could insert rogue data<br>
onto the remote server which you then take without checking.<br>
(this is why using just http rather than https is actually okay too -<br>
as the check is via the signature check of the data).<br>
<br>
likewise, you dont need to have valid period check - thats an extra<br>
thats often added by admins on policy requirement , if you know , or<br>
get told, that it will be refreshed every X days, then check that<br>
(some federation metadata validity period is a year! :( )   a downside<br>
to this check is if the federation decide to sign for a longer period<br>
due to eg planned holiday periods....so they sign the eg 18th<br>
December for 3 weeks to cover until they are back for new year - but<br>
you have a 2 week check.. download data. bang. invalid. right on top<br>
of when you want to go (but it would be working fine on 25th<br>
because its now only 2 weeks period left....happy times . ;-)  )<br>
<br>
your other error though - are you pulling in another metadata file<br>
that is a single entity rather than an entity container?<br>
<br>
alan<br>
</blockquote></div>