このトピックでは、CloudSSO のシングルサインオン (SSO) についてよくある質問への回答を提供します。
Google Chrome で SAML レスポンスを表示するにはどうすればよいですか?
SSO 中に問題が発生した場合、Google Chrome で Security Assertion Markup Language (SAML) レスポンスを表示して問題をトラブルシューティングできます。SAML レスポンスを表示するために必要な手順は、ブラウザのバージョンによって異なります。この例では、Google Chrome 108.0.5359.125 (64 ビット) を使用しています。
[F12] キーを押して、DevTools を開きます。
[ネットワーク] をクリックし、[ログを保持] を選択します。
SSO を再度実行して、問題を再現します。
[ネットワーク] タブに表示されるログで [sso] を検索します。必要なレコードをクリックし、[ペイロード] タブをクリックして SAML レスポンスを表示します。
SSO 中に「InvalidSubjectValue」または「InvalidUser」というエラーメッセージが報告された場合はどうすればよいですか?
| 原因 | 解決策 |
| CloudSSO で CloudSSO ユーザーが作成されていないか、作成された CloudSSO ユーザーのユーザー名が ID プロバイダー (IdP) のユーザーのユーザー名と異なります。 |
|
| System for Cross-domain Identity Management (SCIM) を使用したユーザーの同期に失敗しました。 | IdP の SCIM 同期ログをクエリし、問題をトラブルシューティングします。 |
IdP のユーザーのユーザー プリンシパル名 (UPN) が、CloudSSO に同期されている UPN と異なります。考えられる原因は次のとおりです。
| IdP の SSO 設定で設定されている変換ルールが、SCIM 同期設定で設定されている変換ルールと同じであることを確認します。 |
SSO ログイン中に「アサーション署名が不正です」というエラーメッセージと「アサーション署名が不正であるか、Sigin トークンの有効期限が切れています」というエラーメッセージが報告された場合はどうすればよいですか?
| 原因 | 解決策 |
| IdP で署名に使用される公開鍵と秘密鍵のペアがローテーションされています。ただし、Alibaba Cloud の IdP のメタデータは更新されていません。 | Alibaba Cloud の IdP のメタデータを更新します。IdP から最新のメタデータファイルをダウンロードし、Alibaba Cloud にアップロードできます。 |
| IdP で署名に使用される公開鍵と秘密鍵のペアがローテーションされ、Alibaba Cloud の IdP のメタデータが更新されています。ローテーション中に、元の秘密鍵が IdP でまだ使用されている可能性があります。Alibaba Cloud の IdP のメタデータには、新しい公開鍵のみが含まれています。 | IdP のメタデータに元の公開鍵と新しい公開鍵の両方を指定することをお勧めします。
|
| メタデータファイルのサイズが大きすぎるため、メタデータファイルのアップロードに失敗しました。 | アップロードが完了するまで待ちます。アップロードが完了したら、アップロードされたメタデータファイルをダウンロードして、メタデータファイルがアップロードされているかどうかを確認します。 |
セルフマネージド IdP のメタデータでパラメーターが指定されていないか無効であることが通知された場合はどうすればよいですか?
原因 | 解決策 |
メタデータのパラメーターが SAML 2.0 プロトコルに基づいて設定されていません。 | SAML 2.0 プロトコルに基づいてパラメーターを設定します。詳細については、SAML 2.0 をご覧ください。 |