SAMLログイン・エラー
SAMLログイン・エラー・メッセージを確認し、解決するステップを学習します。
SAMLログイン・エラーは、サービス管理者がサインインの問題のトラブルシューティングを支援することを目的としています。管理者でなく、サインインに問題がある場合は、サービス管理者に連絡してください。管理者に連絡する際のサポートが必要な場合は、サポートへの連絡の項の管理者に連絡を参照してください。
SAMLログイン・エラーは、メタデータに問題が発生したとき、またはセキュリティ証明書が欠落しているか検証に失敗したときに表示されます。メタデータを修正、アクセス、比較および修正するか、サービス・プロバイダから現在の証明書を提供します。
- フェデレーション・パートナ[partner_name]が認識されません
- パートナ[partner_name]の受信デジタル署名を検証しようとしたときに証明書がありませんでした
- パートナ[partner_name]のURL問合せ署名の検証に失敗しました。リモート・パートナからの証明書は、更新が必要である可能性があります
- パートナ[partner_name]の署名の検証に失敗しました。リモート・プロバイダからの証明書は、更新が必要である可能性があります
- 相関ポリシーによってユーザーが返されませんでした
- 相関ポリシーによって複数のユーザーが返されました
- フェデレーション・パートナsaml-appが有効になっていません
フェデレーション・パートナ[partner_name]が認識されません
アプリケーションのシングル・サインオン・メタデータとアイデンティティ・ドメイン・プロバイダ・メタデータを比較して、それらが一致していることを確認します。
このメッセージは、SAMLをアイデンティティ・プロバイダまたはサービス・プロバイダとして設定する際に誤った構成があった場合に表示されます。アイデンティティ・ドメインがアイデンティティ・プロバイダ(IdP)の場合、その構成はサービス・プロバイダ(SP)から取得したメタデータと一致する必要があります。アイデンティティ・ドメインがサービス・プロバイダの場合、その構成はアイデンティティ・プロバイダから取得したメタデータと一致する必要があります。
アイデンティティ・ドメインはアイデンティティ・プロバイダ(IdP)です
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」を選択します。
- 検証するSAMLアプリケーションのSSO情報にアクセスします。
-
サービス・プロバイダのアイデンティティ・ドメイン・プロバイダ・メタデータにオンラインでアクセスします(
https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata)。 - entityIDおよびAssertionConsumerServiceをメタデータからのSSO情報と比較し、それらが一致することを確認します。
- シングル・ログアウトが有効になっている場合は、SingleLogoutServiceとResponseLocationを比較して、それらが一致していることを確認します。
- 不一致を修正します。
アイデンティティ・ドメインはサービス・プロバイダ(SP)
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダー」の順に選択します。
-
アイデンティティ・プロバイダのアイデンティティ・ドメイン・メタデータにオンラインでアクセスします(
https://<IDCS-service-instance>.identity.oraclecloud.com/fed/v1/metadata)。 - IdPからメタデータをアップロードした場合は、正しいメタデータ・ファイルをアップロードしたことを確認してください。
- IdPメタデータを手動で入力した場合は、entityIDおよびAssertionConsumerServiceがIdPメタデータと一致していることを確認してください。
- シングル・ログアウトが有効になっている場合は、SingleLogoutServiceとResponseLocationを比較して、それらが一致していることを確認します。
- 不一致を修正します。
パートナ[partner_name]の受信デジタル署名を検証しようとしたときに証明書がありませんでした
欠落しているセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、署名証明書がアイデンティティ・ドメインのSAMLアプリケーションにない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」を選択します。
- 検証するSAMLアプリケーションのSSO情報にアクセスします。
- 「署名証明書」フィールドをチェックし、空の場合はサービス・プロバイダから受信した証明書をアップロードします。
パートナ[partner_name]のURL問合せ署名の検証に失敗しました。リモートパートナーからの証明書を更新する必要がある場合があります
現在のセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、IDCSの署名証明書が期限切れの場合、またはそれ以外の場合は検証できない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」を選択します。
- 検証するSAMLアプリケーションのSSO情報にアクセスします。
- サービス・プロバイダから受信した現在の証明書をアップロードします。
パートナ[partner_name]の署名検証に失敗しました。リモート・プロバイダからの証明書は更新が必要な可能性があります
現在のセキュリティ証明書をSAMLアプリケーションにアップロードします。
このメッセージは、アイデンティティ・ドメイン内の署名証明書が期限切れの場合、またはそれ以外の場合は検証できない場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「フェデレーション」、「アイデンティティ・プロバイダ」の順に選択します。
- 更新するアイデンティティ・プロバイダのを選択します。
- 「編集」を選択します。IdPの構成設定を表示するウィンドウが開きます。
- IdPからメタデータをアップロードした場合は、現在のメタデータを取得してアップロードします。
- IdPメタデータを手動で入力した場合は、IdPから新しい署名証明書を取得してアップロードします。
相関ポリシーによってユーザーが返されませんでした
SAMLアサーションで指定されたユーザーは、サービス・プロバイダのデータ・ストアに存在する必要があり、IdPリソース内のユーザー相関メカニズムを正しく設定する必要があります。
- 指定されたユーザーはサービス・プロバイダに追加されていません。ドメインに移動し、追加します。
- IdPリソースのユーザー相関メカニズムが正しく設定されていません。IdPリソースに相関メカニズムが定義されているユーザーが存在することを確認します。
定義済の相関ポリシーのサービス・プロバイダ・データ・ストアにユーザーが見つかりません
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「ユーザー」を選択します。
- 指定したユーザーがユーザーのリストにあることを確認します。そうでない場合は、新しいユーザーを作成するか、Just in Time (JIT)またはSystem for Cross-domain Identity Management (SCIM)を使用してユーザーをプロビジョニングします。
相関ポリシーの問題
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダー」の順に選択します。
- SAMLアサーション属性/Name ID構成が、サービス・プロバイダのアイデンティティ・ストアで定義されているユーザーと一致することを確認します。または、JIT/SCIMなどのプロビジョニング構成が有効になっている場合は、それらも検証します。
相関ポリシーによって複数のユーザーが返されました
IdPリソース内のユーザー相関メカニズムを正しく設定する必要があります。
このメッセージは、SAMLアサーションName IDまたはSAMLアサーション属性構成が複数のユーザーと誤って一致する場合に表示されます。
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「セキュリティ」、「アイデンティティ・プロバイダー」の順に選択します。
- SAMLアサーションName IDまたはSAMLアサーション属性構成を確認します。アイデンティティ・ストア内の複数のユーザーと照合される場合があります。
フェデレーション・パートナsaml-appが有効になっていません
無効なsaml-appをアクティブ化します。
この問題は、IDP側で構成されたSAMLアプリケーションがアクティブ化されていない場合に発生します
- ナビゲーション・メニューを開き、「アイデンティティ・セキュリティ」を選択します。「アイデンティティ」で、「ドメイン」を選択します。
- 作業するアイデンティティ・ドメインの名前を選択します。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。次に、「統合アプリケーション」を選択します。
- 検証対象のSAMLアプリケーションがアクティブ化されていることを確認します。そうでない場合は、「アクティブ化」を選択します。