すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:シングルサインオン (SSO) に関する FAQ

最終更新日:Jun 03, 2026

このドキュメントでは、Resource Access Management (RAM) におけるシングルサインオン (SSO) に関する一般的な質問とその回答を説明します。内容は、SAML 応答のトラブルシューティング、ユーザーベース SSO のエラー、ロールベース SSO のエラーなどです。

ブラウザーでの SAML 応答の表示

SSO の問題をトラブルシューティングするために、Google Chrome で SAML 応答を表示します。以下の手順では、Google Chrome 108.0.5359.125 (64 ビット) を例として使用します。手順はブラウザーのバージョンによって異なる場合があります。

  1. F12 キーを押して DevTools コンソールを開きます。

  2. [Network] タブをクリックし、[Preserve log] を選択します。

  3. 問題を再現します。

  4. [Network] タブで、ログから sso を検索します。一致するエントリを選択し、[Payload] タブをクリックして SAML 応答を表示します。

ユーザーベース SSO:「user does not exist」エラー

原因

解決策

Alibaba Cloud はユーザープリンシパル名 (UPN) を使用して RAM ユーザーを特定するため、ID プロバイダー (IdP) からの SAML 応答にはユーザーの UPN が含まれている必要があります。UPN サフィックスには、ドメインエイリアス、補助ドメイン名、またはデフォルトドメイン名を使用できます。IdP のユーザー名サフィックスが RAM ユーザーの UPN サフィックスと一致しない場合、照合に失敗します。詳細については、『ユーザーベース SSO の SAML 応答』の[「NameID 要素」]と[「NameID の例」]セクションをご参照ください。

RAM ユーザーの UPN サフィックスが IdP のサフィックスと一致するように、補助ドメイン名を設定してください。詳細については、『Alibaba Cloud でのユーザーベース SSO の SAML 設定』をご参照ください。

RAM ユーザーが存在しないか、RAM ユーザーの名前が IdP の対応するユーザー名と一致しません。

  • IdP のユーザー名と一致するように RAM ユーザー名を変更してください。

  • RAM のユーザー名は、最大 64 文字で、英字、数字、および -_. のみが使用できます。IdP のユーザー名がこれらの要件を満たさない場合は、次のいずれかの方法をお試しください。

    • RAM の文字要件を満たすように IdP のユーザー名を変更します。

    • IdP の SSO 設定で、一意の識別子フィールドを、メールアドレスなど RAM の要件を満たすものに変更します。

    • IdP の SSO 設定で、ユーザー名マッピングの変換ルールを設定します。

SCIM ユーザー同期が失敗しました。

IdP の SCIM 同期ログを確認して、失敗の原因を特定し、修正してください。

IdP 内のユーザーの UPN が、RAM に同期された UPN と一致しません。考えられる原因は次のとおりです。

  • SCIM を使用して RAM に同期されたユーザー名が、ユーザーの UPN ではありません。

  • ユーザー名マッピングの変換ルールが SCIM 同期用に設定されています。

IdP の SSO 設定におけるユーザー名マッピングのルールが、SCIM 同期用に設定されたルールと一致していることを確認してください。

SAML 応答の Audience 要素の値が正しくありません。多くの場合、accountId が誤っていることが原因です。

SAML 応答で、Conditions 内の AudienceRestriction 要素を見つけてください。Audiencehttps://signin-intl.aliyun.com/${accountId}/saml/SSO に設定されていることを確認してください。ここで、${accountId} はお使いの Alibaba Cloud アカウント ID です。

IdP に個別の Audience URL 設定がある場合は、それが正しく設定されていることを確認してください。

ロールベース SSO:「NoPermission.NotTrusted」エラー

原因

解決策

AttributeStatement 要素において、Attribute Namehttps://www.aliyun.com/SAML-Role/Attributes/Role である属性は、RAM ロール名と IdP 名を組み合わせたものです。このエラーは、Alibaba Cloud に RAM ロールまたは IdP が存在しない場合、または RAM ロールの信頼ポリシー内の IdP が属性値の IdP 名と一致しない場合に発生します。詳細については、『ロールベース SSO の SAML 応答』をご参照ください。

ロールベース SSO:「Role attribute error」

原因

解決策

Name 属性が https://www.aliyun.com/SAML-Role/Attributes/Role に設定されている Attribute 要素が、IdP に存在しないか、または正しく設定されていません。

IdP の Attribute 設定を修正してください。詳細については、『ロールベース SSO の SAML 応答』をご参照ください。

ロールベース SSO:「InvalidParameter.RoleSessionName」エラー

原因

解決策

Name 属性が https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName に設定されている Attribute 要素が、IdP で正しく設定されていません。

IdP の Attribute 要素を修正してください。Attribute の値が 2~64 文字で、英字、数字、および -_.@= のみを含んでいることを確認してください。詳細については、『ロールベース SSO の SAML 応答』をご参照ください。

サインインするユーザーには、RoleSessionName にマッピングされた属性の値が設定されていません。たとえば、IdP が RoleSessionName として Email を使用している場合、IdP でユーザーにメールアドレスが設定されていないとこのエラーが発生します。

IdP で RoleSessionName に指定されている属性を特定し、ユーザーにその属性値を設定してください。

SSO:「assertion signature is invalid」または「sign-in token expired」エラー

原因

解決策

IdP で署名に使用される公開/秘密キーペアがローテーションされましたが、Alibaba Cloud の IdP メタデータが更新されていません。

Alibaba Cloud の IdP メタデータを更新してください。IdP から最新のメタデータファイルをダウンロードし、再アップロードしてください。

IdP の公開/秘密キーペアがローテーションされ、Alibaba Cloud の IdP メタデータは更新されました。しかし、ローテーション期間中、IdP がまだ古い秘密キーを使用している可能性があります。一方、Alibaba Cloud のメタデータには新しい公開キーしか含まれていません。

Alibaba Cloud の IdP メタデータには、古い公開キーと新しい公開キーの両方が含まれている必要があります。2 つの公開キーを持つメタデータを設定するには、次の手順を実行してください。

  • 新しい証明書を作成してください。古い証明書を無効にしたり、削除したりしないでください。

  • 新しいメタデータファイルをダウンロードし、古い証明書と新しい証明書の両方の公開キーが含まれているかどうかを確認してください。

    • Azure AD などの一部の IdP は、メタデータファイルに両方の証明書を自動的に含めます。

    • メタデータファイルに両方の公開キーが含まれていない場合は、手動で古い証明書を追加してください。RAM の SSO 設定から古いメタデータファイルをダウンロードし、KeyDescriptor セクションから X509Certificate をコピーして、新しいメタデータファイルに貼り付けます。

    • 新しいメタデータファイルを RAM の SSO 設定にアップロードしてください。

    • IdP の SSO 設定で、新しい証明書を有効にし、古い証明書を無効にしてください。

メタデータファイルのサイズが大きく、アップロードの処理に時間がかかっています。

アップロード後、処理が完了するまで待ってください。メタデータファイルをダウンロードして、アップロードが成功し、内容が完全であることを確認してください。

自己管理型 IdP:メタデータの欠落または不正

原因

解決策

メタデータパラメーターが SAML 2.0 プロトコルに準拠していません。

SAML 2.0 プロトコルに準拠するようにパラメーターを設定してください。詳細については、『SAML 2.0』をご参照ください。