目次
このページのトピック
一般確認
ユーザとグループの関連付け
証明書の有効期限
追跡
グループが役割に割り当てられていない
SAML応答が失敗した
マッピングが機能しない
not_a_saml_appエラー
アイデンティティプロバイダ設定の作成中にエラーが発生しました
ブラウザ開発者コンソール

SAML設定のトラブルシューティング

一般確認

  • 属性ステートメントが有効であり、Trend Cloud Oneで正しくマッピングされていることを確認します。
  • 末尾のスペースを確認します。サービスプロバイダで設定されているURLの末尾にスラッシュを含めないでください。

ユーザとグループの関連付け

作成したアプリケーションにユーザまたはグループが割り当てられていることを確認します。

証明書の有効期限

以前は正常にログインできたが、現在はログインできない場合は、証明書の有効期限が切れていないかどうかを確認してください。

追跡

ブラウザ用のSAMLトレーサ拡張機能をダウンロードし、SSOテスト中にトレーサに従ってください。作成されたSAMLアサーションを表示し、そのトレースを使用して問題を特定できます。

グループが役割に割り当てられていない

Trend Cloud One内のIDプロバイダの設定で指定したグループが、IDプロバイダから送信された要求と一致しないため、Trend Cloud Oneはそのユーザのロールをマッピングできません。

これは、グループ要求が正しく設定されていない場合や、IDプロバイダの設定内で誤った値を使用している場合にも発生する可能性があります。大文字と小文字の区別と有効なURLを確認します。

この問題が発生するもう1つの理由は、ユーザがマッピングされたロールがTrend Cloud Oneから削除されたことです。アカウントの管理者は、Trend Cloud One IDプロバイダのページでロール設定を更新する必要があります。

SAML応答が失敗した

この状況が発生した場合 (通常は、 /idpresponse エンドポイントに到達した場合)、SAML応答を追跡し、欠損値がないかどうかを確認する必要があります。件名には名前IDが含まれている必要があり、属性ステートメントの値は定義した値と一致している必要があります。たとえば、健康そうに見える被験者は次のようになります。

<Subject>
  <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">foobar</NameID>
  <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
      <SubjectConfirmationData NotOnOrAfter="2022-02-18T20:14:41.945Z" Recipient="https://saml.cloudone.trendmicro.com/idpresponse"/>
  </SubjectConfirmation>
</Subject>

また、問題のない属性のステートメントは次のようになります。

<AttributeStatement>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
    <AttributeValue>foobar</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/claims/Group">
    <AttributeValue>foobar</AttributeValue>
  </Attribute>
  <Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
    <AttributeValue>foobar</AttributeValue>
    </Attribute>
</AttributeStatement>

名前と具体的な値は、IDプロバイダによって異なります。

マッピングが機能しない

これには、次のいずれかの理由が考えられます。

  • IDプロバイダ設定で指定したマッピングがサービスのActive Directoryのマッピングと一致しないか、またはその逆です。トレーサを使用してSAML応答の属性ステートメントを確認できます。Attribute Name がIDプロバイダ設定に入力した内容であること、および Attribute Value が入力済み/正しいことを確認してください。

  • サービスのActive Directoryの値が、タイムゾーンまたはロケールの形式として無効である可能性があります。詳細については、 属性のクレームガイド を参照してください。

  • IDプロバイダの設定が同じ複数のアカウントがあり、一方の設定にマッピングを提供し、もう一方の設定にマッピングを提供していない場合、Trend Cloud Oneは使用するアカウントを認識できません。すべてのIDプロバイダ設定でマッピングが入力されていることを確認してください。

not_a_saml_appエラー

これはGoogle SSOに固有の問題です。アプリを有効にした直後にログインしようとしている場合は、ログアウトしてキャッシュをクリアする必要があります。次に、テストに使用したユーザとして再度ログインします。このエラーが引き続き発生する場合は、Googleが新しいアプリケーションに関連付けられるまで数分かかることがあります。

アイデンティティプロバイダ設定の作成中にエラーが発生しました

これにはさまざまな理由が考えられます。最も一般的な理由は、XMLが無効であることです。メタデータファイルが正しいことを確認してください。

以前にアップロードしたメタデータファイルと同じ Entity ID を使用してメタデータをアップロードすることはできません。

ブラウザ開発者コンソール

ブラウザの開発者コンソールには、サポートケースを送信するときに含めると便利な追加情報が表示される場合があります。コンソールを開き、[ Network ] タブを開きます。開いたままにして、以前に失敗した操作を再試行します。詳細については、失敗した要求に対する応答を参照してください。ブラウザ内でキーボードの F12 を押すと、この情報をロードできます。