SAMLログイン・エラー
SAMLログイン・エラー・メッセージを識別し、それらを解決するためのステップを学習します。
SAMLログイン・エラーは、サービス管理者がサインインの問題のトラブルシューティングを支援するためのものです。管理者ではなく、サインインが困難な場合は、サービス管理者に連絡してください。管理者に連絡する必要がある場合は、「サポートへの連絡」セクションの「管理者への連絡」を参照してください。
SAMLログイン・エラーは、メタデータに関する問題が発生した場合、またはセキュリティ証明書がないか検証に失敗した場合に表示されます。メタデータの修正、アクセス、比較および修正、またはサービス・プロバイダからの現在の証明書の提供。
- フェデレーション・パートナ[partner_name]が認識されません
- パートナ[partner_name]の受信デジタル署名を検証しようとしたときに証明書がありませんでした。
- パートナ[partner_name]のURL問合せ署名の検証に失敗しました。リモート・パートナからの証明書は、更新が必要である可能性があります
- パートナ[partner_name]の署名の検証に失敗しました。リモート・プロバイダからの証明書は、更新が必要である可能性があります
- 相関ポリシーからユーザーが返されませんでした
- 相関ポリシーによって複数のユーザーが返されました
- フェデレーション・パートナsaml-appが有効になっていません
フェデレーション・パートナ[partner_name]が認識されません
アプリケーション・シングル・サインオン・メタデータをアイデンティティ・ドメイン・プロバイダ・メタデータと比較し、一致することを確認します。
このメッセージは、SAMLをアイデンティティ・プロバイダまたはサービス・プロバイダとして設定する際に誤った構成があった場合に表示されます。アイデンティティ・ドメインがアイデンティティ・プロバイダ(IdP)の場合、その構成はサービス・プロバイダ(SP)から取得したメタデータと一致する必要があります。アイデンティティ・ドメインがサービス・プロバイダの場合、その構成はアイデンティティ・プロバイダから取得したメタデータと一致する必要があります。
アイデンティティ・ドメインはアイデンティティ・プロバイダ(IdP)です。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」を選択します。
- 検証対象のSAMLアプリケーションのSSO情報にアクセスします。
-
https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadataでオンラインのサービス・プロバイダのアイデンティティ・ドメイン・プロバイダ・メタデータにアクセスします。 - entityIDおよびAssertionConsumerServiceをメタデータのSSO情報と比較し、一致していることを確認します。
- シングルログアウトが有効になっている場合は、SingleLogoutServiceと ResponseLocationを比較して一致していることを確認します。
- 不一致を修正します。
アイデンティティ・ドメインはサービス・プロバイダ(SP)です。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダー」の順に選択します。
-
https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadataで、アイデンティティ・プロバイダのアイデンティティ・ドメイン・メタデータにオンラインでアクセスします。 - IdPからメタデータをアップロードした場合は、正しいメタデータ・ファイルをアップロードしていることを確認してください。
- IdPメタデータを手動で入力した場合は、entityIDおよびAssertionConsumerServiceがIdPメタデータと一致していることを確認します。
- シングルログアウトが有効になっている場合は、SingleLogoutServiceと ResponseLocationを比較して一致していることを確認します。
- 不一致を修正します。
パートナ[partner_name]の受信デジタル署名を検証しようとしたときに証明書がありませんでした。
欠落しているセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、署名証明書がアイデンティティ・ドメインのSAMLアプリケーション内にない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」を選択します。
- 検証対象のSAMLアプリケーションのSSO情報にアクセスします。
- 「署名証明書」フィールドをチェックし、空の場合は、サービス・プロバイダから受信した証明書をアップロードします。
パートナ[partner_name]のURL問合せ署名の検証に失敗しました。リモート・パートナの証明書を更新する必要がある場合があります。
現在のセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、IDCSの署名証明書の有効期限が切れているか、確認できない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」を選択します。
- 検証対象のSAMLアプリケーションのSSO情報にアクセスします。
- サービス・プロバイダから受信した現在の証明書をアップロードします。
パートナ[partner_name]の署名の検証に失敗しました。リモート・プロバイダからの証明書の更新が必要である可能性があります
現在のセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、アイデンティティ・ドメイン内の署名証明書の期限が切れているか、または検証できない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「フェデレーション」、「アイデンティティ・プロバイダ」の順に選択します。
- 更新するアイデンティティ・プロバイダのを選択します。
- 「編集」を選択します。IdPの構成設定を表示するウィンドウが開きます。
- IdPからメタデータをアップロードした場合は、現在のメタデータを取得してアップロードします。
- IdPメタデータを手動で入力した場合は、IdPから新しい署名証明書を取得してアップロードします。
相関ポリシーからユーザーが返されませんでした
SAMLアサーションで指定されたユーザーは、サービス・プロバイダ・データ・ストアに存在する必要があり、IdPリソース内のユーザー相関メカニズムが正しく設定されている必要があります。
- 指定されたユーザーはサービス・プロバイダに追加されていません。ドメインに移動して追加します。
- IdPリソースのユーザー相関メカニズムが正しく設定されていません。IdPリソースに相関メカニズムが定義されているユーザーがいることを確認します。
定義済相関ポリシーのサービス・プロバイダ・データ・ストアにユーザーが見つかりません
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「ユーザー」を選択します。
- 指定したユーザーがユーザーのリストに含まれていることを確認します。そうでない場合は、新しいユーザーを作成するか、Just in Time (JIT)またはSystem for Cross-domain Identity Management (SCIM)を使用してユーザーをプロビジョニングします。
相関ポリシーの問題
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダー」の順に選択します。
- SAMLアサーション属性/Name ID構成が、サービス・プロバイダ・アイデンティティ・ストアに定義されているユーザーと一致していることを確認します。または、JIT/SCIMなどのプロビジョニング構成が有効になっている場合は、それらも確認します。
相関ポリシーによって複数のユーザーが返されました
IdPリソース内のユーザー相関メカニズムを正しく設定する必要があります。
このメッセージは、SAMLアサーションName IDまたはSAMLアサーション属性の構成が複数のユーザーと誤って一致した場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダー」の順に選択します。
- SAMLアサーションName IDまたはSAMLアサーション属性の構成を確認します。アイデンティティ・ストア内の複数のユーザーと一致している可能性があります。
フェデレーション・パートナsaml-appが有効になっていません
無効化されたsaml-appをアクティブ化します。
この問題は、IDPエンドで構成されたSAMLアプリケーションがアクティブ化されていない場合に発生します
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」を選択します。
- 検証対象のSAMLアプリケーションがアクティブ化されていることを確認します。そうでない場合は、「アクティブ化」を選択します。