SAML認証のトラブルシューティング

記事番号:02035

SAML認証に関するトラブルの解決方法を説明します。

SAML認証の設定ミスでログインできなくなった場合

SAML認証の設定に失敗すると、ユーザーはcybozu.comにシングルサインオンできなくなる場合があります。
シングルサインオンできない場合は、下記の手順を参照し、パスワード認証でcybozu.comにログインしてください。

  1. 次のURLにアクセスします。
    https://(サブドメイン名).cybozu.com/login?saml=off
  2. cybozu.com共通管理に登録しているログイン名とパスワードを入力し、cybozu.comにログインします。

SAML認証に関するエラーメッセージ

SAMLResponse内のNameIDと一致するログイン名を持つユーザーが見つかりません。

コード
SLASH_SA01
原因
SAMLResponse内のNameIDと一致するログイン名を持つユーザーが、cybozu.comに存在しません。
対処方法
  • IdPの設定を変更し、ユーザーを識別する要素にNameIDを指定してください。
  • NameIDに関連付けた値と、cybozu.comのユーザーのログイン名を一致させてください。

SAMLResponseに対応するAuthnRequestがありません。

コード
SLASH_SA02
原因
次のような場合に発生します。
  • 1つのセッションで複数のSAMLリクエストを発行した。
    例:
    • 同じWebブラウザーの複数のタブで、SSOを行おうとした。
    • SSO後に、Webブラウザーの戻るボタンをクリックし、cybozu.comのエンドポイントURLを表示しようとした。
  • IdP InitiatedなSSOを行おうとした。
対処方法
  • 1つのセッションで、複数のSAMLリクエストを発行する操作をしないでください。
  • IdPの設定を変更し、SP InitiatedなSSOを行ってください。

リクエストパラメーターにSAMLResponseがありません。

コード
SLASH_SA03
原因
IdPがcybozu.comに送信したリクエストパラメーターに、SAMLResponseがありません。
対処方法
SAMLResponseの送信を妨げるものがないか確認してください。

SAMLResponseが無効です。

コード
SLASH_SA04
原因
IdPがcybozu.comに送信したリクエストパラメーターに、SAMLResponseがありません。
対処方法
検証結果がFailedの項目の設定を見直してください。
次の情報も参考にしてください。
SAMLResposeの検証結果を確認する

HTTPメソッドが不正です。HTTPメソッドにPOSTを指定してください。

コード
SLASH_SA05
原因
HTTP POST Binding以外で、SAMLレスポンスを送信しています。
対処方法
  • IdPの設定を変更し、HTTP POST BindingでSAMLレスポンスを送信してください。
  • プロキシサーバーなどで、HTTPメソッドがPOST以外のものに変換されていないかどうか確認してください。

SAMLResponseの処理に失敗しました。

コード
SLASH_FA01
原因
予期せぬエラーが発生し、SAMLResponseを処理できません。
対処方法
サポートにお問い合わせください。
お問い合わせ方法

SAMLResponseの検証結果を確認する

SAMLResponseの検証結果がFailedとなった場合、検証項目ごとに対処します。

現在の時刻が、Conditions要素のNotBefore属性とNotOnOrAfter属性で指定した期間内である場合

IdPとcybozu.comの日時の設定が異なる可能性があります。IdPの設定を変更し、正しい日時を設定します。

SubjectConfirmationData要素のInResponseTo属性がAuthnRequestのIDと一致する場合

同じWebブラウザーの複数のタブで、SSOを行おうとした可能性があります。タブをひとつだけ開いた状態でログインした場合に、エラーが解消するかどうかを確認します。

Audience要素に正しい値が指定されている場合

cybozu.comをSPとして登録する際に、不正なエンティティIDを指定した可能性があります。SPのエンティティIDには、「https://(サブドメイン名).cybozu.com」を指定します。

Assertion要素またはResponse要素に署名があり、その署名が有効である場合

公開鍵の証明書が不正な可能性があります。
cybozu.com共通管理の「ログインのセキュリティ設定」画面で、「Identity Providerが署名に使用する公開鍵の証明書」に正しい証明書を添付します。証明書はRSAかDSAのアルゴリズムで生成した、X.509形式のものを使用します。