目次
このページのトピック
一般確認
ユーザ/グループの関連付け
証明書の有効期限
追跡
グループが役割に割り当てられていない
SAML応答が失敗した
マッピングが機能しない
エラー:not_a_saml_app

SAMLセットアップガイドのトラブルシューティング

一般確認

  • 属性文が有効であり、 Cloud Oneに正しくマッピングされていることを確認してください。
  • 末尾のスペースを確認します。サービスプロバイダで設定されているURLの末尾にスラッシュを含めないでください。

ユーザ/グループの関連付け

作成したアプリケーションにユーザやグループが割り当てられていることを確認します。

証明書の有効期限

以前は正常にログインできたが、現在はログインできない場合は、証明書の有効期限が切れていないかどうかを確認してください。

追跡

ブラウザ用のSAMLトレーサ拡張機能をダウンロードし、SSOテスト中にトレーサに従ってください。作成されたSAMLアサーションを表示し、そのトレースを使用して問題を特定できます。

グループが役割に割り当てられていない

Cloud One 内のIDプロバイダ設定で指定したグループがIDプロバイダから送信された要求に一致しないため、 Cloud One はそのユーザの役割をマップできません。

また、グループの要求が正しく設定されていない場合や、IDプロバイダの設定で誤った値を使用している場合にも発生することがあります。大文字と小文字の区別と有効なURLを確認してください。

この問題が発生するもう1つの原因として、ユーザがマッピングされた役割が Cloud Oneから削除されていることが考えられます。アカウントの管理者は、 Cloud One IDプロバイダのページで役割の設定を更新する必要があります。

SAML応答が失敗した

このエラーが表示された場合(通常は /idpresponse エンドポイントに到達した場合)は、SAML応答をトレースして、値が不足していないかどうかを確認する必要があります。件名に名前IDがあり、属性文の値が定義したものと一致している必要があります。たとえば、正常な件名は次のようになります。

<Subject>
  <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">foobar</NameID>
  <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
      <SubjectConfirmationData NotOnOrAfter="2022-02-18T20:14:41.945Z" Recipient="https://saml.cloudone.trendmicro.com/idpresponse"/>
  </SubjectConfirmation>
</Subject>

正常な属性ステートメントは次のようになります(名前と特定の 値はIDプロバイダによって異なります)。

<AttributeStatement>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
    <AttributeValue>foobar</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/claims/Group">
    <AttributeValue>foobar</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
    <AttributeValue>foobar</AttributeValue>
    </Attribute>
</AttributeStatement>

マッピングが機能しない

これには、次のいずれかの理由が考えられます。

  • IDプロバイダ設定で指定したマッピングがサービスのActive Directoryのマッピングと一致しないか、またはその逆です。トレーサを使用してSAML応答の属性ステートメントを確認できます。Attribute Name がIDプロバイダ設定に入力した内容であること、および Attribute Value が入力済み/正しいことを確認してください。

  • サービスのActive Directoryの値が、タイムゾーンまたはロケールの形式として無効である可能性があります。詳細については、 属性のクレームガイド を参照してください。

  • 同じIDプロバイダ設定のアカウントが複数あり、一方の設定にマッピングを指定したが、もう一方の設定にマッピングが指定されていない場合、どちらを使用するかが Cloud One で認識されません。すべてのIDプロバイダ設定でマッピングが入力されていることを確認してください。

エラー:not_a_saml_app

これはGoogle SSOに固有の問題です。アプリを有効にした直後にログインしようとしている場合は、ログアウトしてキャッシュをクリアする必要があります。次に、テストに使用したユーザとして再度ログインします。このエラーが引き続き発生する場合は、Googleが新しいアプリケーションに関連付けられるまで数分かかることがあります。