SAMLログイン・エラー
SAMLログイン・エラー・メッセージを識別し、それらを解決するためのステップを学習します。
SAMLログイン・エラーは、メタデータで問題が発生した場合、またはセキュリティ証明書が欠落しているか検証に失敗した場合に表示されます。メタデータを修正、アクセス、比較および修正したり、サービス・プロバイダから現在の証明書を提供したりします。
- フェデレーション・パートナ<partner_name>が認識されません
- パートナ<partner_name>の受信デジタル署名を検証しようとした際に証明書がありませんでした
- パートナ<partner_name>のURL問合せ署名の検証に失敗しました。リモート・パートナからの証明書は、更新する必要がある場合があります。
- パートナ<partner_name>の署名の検証に失敗しました。リモート・プロバイダからの証明書は、更新する必要がある場合があります。
- 相関ポリシーでユーザーが返されませんでした
- 相関ポリシーによって戻された複数のユーザー
- フェデレーション・パートナsaml-appが有効ではありません
フェデレーション・パートナ<partner_name>が認識されません
アプリケーションのシングル・サインオン・メタデータをアイデンティティ・ドメイン・プロバイダ・メタデータと比較し、一致していることを確認します。
このメッセージは、SAMLをアイデンティティ・プロバイダまたはサービス・プロバイダとして設定する際に誤った構成があった場合に表示されます。アイデンティティ・ドメインがアイデンティティ・プロバイダ(IdP)の場合、その構成はサービス・プロバイダ(SP)から取得したメタデータと一致する必要があります。アイデンティティ・ドメインがサービス・プロバイダである場合、その構成はアイデンティティ・プロバイダから取得したメタデータと一致する必要があります。
アイデンティティ・ドメインはアイデンティティ・プロバイダ(IdP)
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」をクリックします。
- 検証するSAMLアプリケーションのSSO情報にアクセスします。
-
https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadataで、サービス・プロバイダのアイデンティティ・ドメイン・プロバイダ・メタデータにオンラインでアクセスします。 - entityIDおよびAssertionConsumerServiceをメタデータからのSSO情報と比較し、一致していることを確認します。
- シングルログアウトが有効になっている場合は、SingleLogoutServiceと ResponseLocationを比較して、一致していることを確認します。
- 不一致を修正します。
アイデンティティ・ドメインはサービス・プロバイダ(SP)
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダ」の順にクリックします。
-
アイデンティティ・プロバイダのアイデンティティ・ドメイン・メタデータには、
https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadataでオンラインでアクセスします。 - IdPからメタデータをアップロードした場合は、正しいメタデータ・ファイルをアップロードしていることを確認してください。
- IdPメタデータを手動で入力した場合は、entityIDおよびAssertionConsumerServiceがIdPメタデータと一致していることを確認してください。
- シングルログアウトが有効になっている場合は、SingleLogoutServiceと ResponseLocationを比較して、一致していることを確認します。
- 不一致を修正します。
パートナ<partner_name>の受信デジタル署名を検証しようとした際に証明書がありませんでした
欠落しているセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、署名証明書がアイデンティティ・ドメインのSAMLアプリケーションに存在しない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」をクリックします。
- 検証するSAMLアプリケーションのSSO情報にアクセスします。
- 「署名証明書」フィールドを確認し、空の場合は、サービス・プロバイダから受信した証明書をアップロードします。
パートナ<partner_name>のURL問合せ署名の検証に失敗しました。リモート・パートナからの証明書は、更新が必要な場合があります。
現在のセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、IDCSの署名証明書の有効期限が切れているか、確認できない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」をクリックします。
- 検証するSAMLアプリケーションのSSO情報にアクセスします。
- サービス・プロバイダから受信した現在の証明書をアップロードします。
パートナ<partner_name>の署名検証に失敗しました。リモート・プロバイダからの証明書は、更新が必要な場合があります。
現在のセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、アイデンティティ・ドメイン内の署名証明書が期限切れになった場合、または検証できない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダ」の順にクリックします。
-
更新するアイデンティティ・プロバイダの「アクション」メニュー(
)(アクション・メニュー)をクリックします。
- 「IdPの編集」を選択します。IdPの構成設定を表示するウィンドウが開きます。
- IdPからメタデータをアップロードした場合は、現在のメタデータを取得してアップロードします。
- IdPメタデータを手動で入力した場合は、IDPから新しい署名証明書を取得してアップロードします。
相関ポリシーでユーザーが返されませんでした
SAMLアサーションで指定されたユーザーは、サービス・プロバイダ・データ・ストアに存在する必要があり、IdPリソースのユーザー相関メカニズムを正しく設定する必要があります。
- 指定されたユーザーはサービス・プロバイダに追加されていません。ドメインに移動して追加します。
- IdPリソースのユーザー相関メカニズムが正しく設定されていません。IdPリソースに相関メカニズムが定義されているユーザーがあることを確認します。
定義済相関ポリシーのサービス・プロバイダ・データ・ストアにユーザーが見つかりません
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「ユーザー」をクリックします。
- 指定したユーザーがユーザーのリストにあることを確認します。そうでない場合は、新規ユーザーを作成するか、JIT (Just in Time)またはSystem for Cross-domain Identity Management (SCIM)を使用してユーザーをプロビジョニングします。
相関ポリシーの問題
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダ」の順にクリックします。
- SAMLアサーション属性/Name ID構成が、サービス・プロバイダ・アイデンティティ・ストアに定義されているユーザーと一致することを確認します。または、プロビジョニング構成(JIT/SCIMなど)が有効になっている場合は、それらも確認します。
相関ポリシーによって戻された複数のユーザー
IdPリソースのユーザー相関メカニズムを正しく設定する必要があります。
このメッセージは、SAMLアサーションName IDまたはSAMLアサーション属性の構成が複数のユーザーと正しく一致していない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダ」の順にクリックします。
- SAMLアサーションのName IDまたはSAMLアサーション属性の構成を確認します。アイデンティティ・ストア内の複数のユーザーと一致している可能性があります。
フェデレーション・パートナsaml-appが有効ではありません
無効にしたsaml-appをアクティブ化します。
この問題は、IDP終了時に構成されたSAMLアプリケーションがアクティブ化されていない場合に発生します
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」をクリックします。
- 検証対象のSAMLアプリケーションがアクティブ化されていることを確認します。そうでない場合は、「アクティブ化」をクリックします。