このドキュメントでは、Resource Access Management (RAM) におけるシングルサインオン (SSO) に関する一般的な質問とその回答を説明します。内容は、SAML 応答のトラブルシューティング、ユーザーベース SSO のエラー、ロールベース SSO のエラーなどです。
ブラウザーでの SAML 応答の表示
SSO の問題をトラブルシューティングするために、Google Chrome で SAML 応答を表示します。以下の手順では、Google Chrome 108.0.5359.125 (64 ビット) を例として使用します。手順はブラウザーのバージョンによって異なる場合があります。
-
F12 キーを押して DevTools コンソールを開きます。
-
[Network] タブをクリックし、[Preserve log] を選択します。
-
問題を再現します。
-
[Network] タブで、ログから sso を検索します。一致するエントリを選択し、[Payload] タブをクリックして SAML 応答を表示します。
ユーザーベース SSO:「user does not exist」エラー
|
原因 |
解決策 |
|
Alibaba Cloud はユーザープリンシパル名 (UPN) を使用して RAM ユーザーを特定するため、ID プロバイダー (IdP) からの SAML 応答にはユーザーの UPN が含まれている必要があります。UPN サフィックスには、ドメインエイリアス、補助ドメイン名、またはデフォルトドメイン名を使用できます。IdP のユーザー名サフィックスが RAM ユーザーの UPN サフィックスと一致しない場合、照合に失敗します。詳細については、『ユーザーベース SSO の SAML 応答』の[「NameID 要素」]と[「NameID の例」]セクションをご参照ください。 |
RAM ユーザーの UPN サフィックスが IdP のサフィックスと一致するように、補助ドメイン名を設定してください。詳細については、『Alibaba Cloud でのユーザーベース SSO の SAML 設定』をご参照ください。 |
|
RAM ユーザーが存在しないか、RAM ユーザーの名前が IdP の対応するユーザー名と一致しません。 |
|
|
SCIM ユーザー同期が失敗しました。 |
IdP の SCIM 同期ログを確認して、失敗の原因を特定し、修正してください。 |
|
IdP 内のユーザーの UPN が、RAM に同期された UPN と一致しません。考えられる原因は次のとおりです。
|
IdP の SSO 設定におけるユーザー名マッピングのルールが、SCIM 同期用に設定されたルールと一致していることを確認してください。 |
|
SAML 応答の |
SAML 応答で、 IdP に個別の Audience URL 設定がある場合は、それが正しく設定されていることを確認してください。 |
ロールベース SSO:「NoPermission.NotTrusted」エラー
|
原因 |
解決策 |
|
|
|
ロールベース SSO:「Role attribute error」
|
原因 |
解決策 |
|
|
IdP の |
ロールベース SSO:「InvalidParameter.RoleSessionName」エラー
|
原因 |
解決策 |
|
|
IdP の |
|
サインインするユーザーには、RoleSessionName にマッピングされた属性の値が設定されていません。たとえば、IdP が RoleSessionName として Email を使用している場合、IdP でユーザーにメールアドレスが設定されていないとこのエラーが発生します。 |
IdP で RoleSessionName に指定されている属性を特定し、ユーザーにその属性値を設定してください。 |
SSO:「assertion signature is invalid」または「sign-in token expired」エラー
|
原因 |
解決策 |
|
IdP で署名に使用される公開/秘密キーペアがローテーションされましたが、Alibaba Cloud の IdP メタデータが更新されていません。 |
Alibaba Cloud の IdP メタデータを更新してください。IdP から最新のメタデータファイルをダウンロードし、再アップロードしてください。 |
|
IdP の公開/秘密キーペアがローテーションされ、Alibaba Cloud の IdP メタデータは更新されました。しかし、ローテーション期間中、IdP がまだ古い秘密キーを使用している可能性があります。一方、Alibaba Cloud のメタデータには新しい公開キーしか含まれていません。 |
Alibaba Cloud の IdP メタデータには、古い公開キーと新しい公開キーの両方が含まれている必要があります。2 つの公開キーを持つメタデータを設定するには、次の手順を実行してください。
|
|
メタデータファイルのサイズが大きく、アップロードの処理に時間がかかっています。 |
アップロード後、処理が完了するまで待ってください。メタデータファイルをダウンロードして、アップロードが成功し、内容が完全であることを確認してください。 |
自己管理型 IdP:メタデータの欠落または不正
|
原因 |
解決策 |
|
メタデータパラメーターが SAML 2.0 プロトコルに準拠していません。 |
SAML 2.0 プロトコルに準拠するようにパラメーターを設定してください。詳細については、『SAML 2.0』をご参照ください。 |