シングルサインオンができない場合の対応方法
以下の手順で対応を行ってください。
- IdPのエラー画面が表示されている場合
各IdPのトラブルシューティングを参照してください。
→ AD FSのトラブルシューティング
→ Microsoft Entra IDのトラブルシューティング - 通常のログイン画面が表示される場合
ID/パスワードを入力して NI製品にログインし、システム設定画面の「運用管理>アクセス/アクセスログ」に、エラーメッセージが出力されていないかを確認してください。
→SAML認証のログを確認する
→SAML認証エラーの原因を調べる - IdPにアクセスできない場合
ブラウザに「このウェブページにアクセスできません」、「このページは表示できません」などのメッセージが表示される場合、端末からIdPに接続できていません。
次の項を参照してください。
→IdPに接続不可の端末からNI製品にアクセスする - エラーメッセージが出力されていない場合
システム設定画面の「セキュリティ>認証/SAML認証」から、以下の設定が正しいことを確認します。
→シングルサインオンを「利用する」設定になっているかどうか
→有効範囲が正しく設定されているかどうか
SAML認証のログを確認する
システム設定画面の「運用管理>アクセスログ」より、SAML認証についてのログを確認できます。
ログは区分「ログイン画面の接続監視」で出力されます。
| メッセージ | 説明 |
|---|---|
| SAML認証によるシングルサインオンに成功しました。[XXX] | 正常にシングルサインオンした際に表示されます。(※XXX:ログインしたユーザー名) |
| SAML認証によるシングルサインオンに失敗しました。(XXX) | シングルサインオン処理に問題があった場合に表示されます。 「SAML認証エラーの原因を調べる」項を参照して、設定値を見直してください。(※XXX:エラーの詳細メッセージ) |
| NameIDに該当するユーザーが見つかりませんでした。(XXX) | 仮名を利用する際に、仮名IDの設定を行っていない状態で、シングルサインオンを実行した際に表示されます。 オプション設定画面より、仮名ID取得を行ってください。(※XXX:仮名ID) |
| NameIDに該当するユーザーが複数見つかりました。 | 複数のNI製品ユーザーが、同じIdPのアカウントと紐付いた状態でシングルサインオンを実行した際に表示されます。 再度オプション設定画面より、仮名ID取得を行い、正しいアカウントにてログインしてください。 |
| SAML認証対応製品ではありません。 | SAML認証に対応していない製品から、シングルサインオン処理が行われた際に表示されます。 |
| 使用停止中です。[XXX] | 使用停止中のユーザーに対して、シングルサインオンした際に表示されます。 |
| ロックアウト中です。[XXX] | パスワードを連続で間違えたことによりロックアウト状態のユーザーに対して、シングルサインオンした際に表示されます。 |
SAML認証エラーの原因を調べる
SAML認証によるシングルサインオン処理に問題があった場合に出力されるメッセージと、対応方法の一覧です。
以下の形式でアクセスログが出力されます。
SAML認証によるシングルサインオンに失敗しました。(<エラーカテゴリ>:<エラーメッセージ詳細>)
| エラーカテゴリ | エラーメッセージ詳細 | 対応方法 |
|---|---|---|
| Invalid array settings | sp_entityId_not_found | SPのエンティティIDが設定されていません。正しい値を設定してください。 |
| idp_entityId_not_found | IdPのエンティティIDが設定されていません。正しい値を設定してください。 | |
| idp_sso_not_found | IdPのエンドポイントURLが設定されていません。正しい値を設定してください。 | |
| idp_sso_url_invalid | IdPのエンドポイントURLがURLの書式になっていません。正しい値を設定してください。 | |
| idp_cert_or_fingerprint_not_found_and_required | IdPの証明書が設定されていません。正しい値を設定してください。 | |
| invalid_response | The status code of the Response was not Success, was Requester -> urn:oasis:names:tc:SAML:2.0:status:InvalidNameIDPolicy | システム設定画面「セキュリティ>認証/SAML認証」のService Provider(NI製品)設定>「仮名」の値がセットアップ時から変更されています。 値を修正するか、再度IdPの設定を行ってください。 |
| invalid_response: The status code of the Response was not Success, was Responder -> urn:oasis:names:tc:SAML:2.0:status:NoAuthnContext | AD FSの認証ポリシーの設定で、認証方法が無効となっています。 「認証ポリシーの設定」の手順が正しく実行できていることを確認してください。 | |
| Signature validation failed. SAML Response rejected | システム設定画面「セキュリティ>認証/SAML認証」のIdentity Provider(NI製品)設定>「証明書」の値が正しくありません。 再度Identity Providerのメタデータを取得し、アップロードしてください。 ※IdP側で署名鍵が更新された場合、このエラーが表示されます。 |
IdPに接続不可の端末からNI製品にアクセスする
ブラウザに「このウェブページにアクセスできません」、「このページは表示できません」などのメッセージが表示される場合、以下の原因が考えられます。
- IdPのアドレスの名前解決に失敗している。
端末のDNSサーバーの設定を確認してください。 - IdPが社内ネットワークにある場合に、モバイル端末など、社外ネットワークからNI製品にアクセスしている。
システム設定画面「セキュリティ>認証/SAML認証」の「有効範囲」の設定により、接続元IPアドレスに応じて、SAML認証を行うか、通常のログイン画面を表示するかを自動で切り替えられます。
社内接続でのみSAML認証を行いたい場合、有効範囲に社内端末のIPアドレスを指定してください。
指定されたIPアドレス以外からアクセスした場合は、通常のログイン画面が表示されます。
または、ログイン画面のURLに「?saml=no」を追加してNI製品にアクセスすることで、どの端末でも通常のログイン画面を表示できます。
例)NI Collabo 360
https://xxx.xxx.xxx.xxx/ni/niware/portal/index.php?saml=no
例)Sales Force Assistantシリーズ
https://xxx.xxx.xxx.xxx/ni/<各製品>/main/index.php?saml=no
ただし、有効範囲を設定せず、上記URLでアクセスした場合は、ログアウト時に「このウェブページにアクセスできません」、「このページは表示できません」などのメッセージがブラウザに表示されますが、正常な動作となります。