SSO エラーの原因と診断原則 - RAM

このトピックでは、Resource Access Management (RAM) のシングルサインオン (SSO) に関するよくある質問とその回答をまとめています。

Google Chrome で SAML 応答を表示する方法

SSO 中に問題が発生した場合、Google Chrome で Security Assertion Markup Language (SAML) 応答を表示して、問題をトラブルシューティングできます。SAML 応答を表示する手順は、ブラウザのバージョンによって異なります。この例では、Google Chrome 108.0.5359.125 (64 ビット) を使用します。

F12 キーを押して DevTools を開きます。
[ネットワーク] をクリックし、[Preserve log] を選択します。
SSO を再度実行して問題を再現します。
[ネットワーク] タブに表示されたログで、sso を検索します。必要なレコードをクリックし、[ペイロード] タブをクリックしてSAML応答を表示します。

ユーザーベース SSO 中に「The user does not exist」というエラーメッセージが表示された場合の対処法

原因	解決策
Alibaba Cloud は、ユーザープリンシパル名 (UPN) を使用して RAM ユーザーを識別します。ご利用の ID プロバイダー (IdP) によって生成される SAML 応答には、RAM ユーザーの UPN が含まれている必要があります。UPN のサフィックスは、ドメインエイリアス、補助ドメイン名、またはデフォルトドメイン名にすることができます。IdP 内のユーザーのユーザー名のサフィックスが RAM ユーザーの UPN のサフィックスと異なる場合、照合は失敗します。詳細については、「ユーザーベース SSO の SAML 応答」の NameID 要素および NameID の例のセクションをご参照ください。	補助ドメイン名を指定して、RAM ユーザーの UPN のサフィックスが IdP 内のユーザーのユーザー名のサフィックスと同じになるようにします。詳細については、「ロールベース SSO のために Alibaba Cloud の SAML 設定を構成する」をご参照ください。
RAM に RAM ユーザーが作成されていないか、作成された RAM ユーザーのユーザー名が IdP 内のユーザーのユーザー名と異なります。	RAM ユーザーのユーザー名を IdP 内のユーザーのユーザー名に変更します。 RAM ユーザーのユーザー名は最大 64 文字で、文字、数字、`ハイフン (-)、アンダースコア (_)、ピリオド (.)` のみを含めることができます。IdP 内のユーザーのユーザー名も、前述の要件を満たす必要があります。IdP 内のユーザーのユーザー名が前述の要件を満たさない場合は、次のいずれかの方法で問題を解決してください：前述の要件に基づいて、IdP 内のユーザーのユーザー名を変更します。 IdP の SSO 設定で、ユーザーを一意に識別するフィールドを変更します。たとえば、ユーザーのメールアドレスを使用できます。これはユーザーを一意に識別でき、特殊文字を含みません。 IdP の SSO 設定で、ユーザー名マッピングの変換ルールを構成します。
System for Cross-domain Identity Management (SCIM) を使用したユーザーの同期に失敗しました。	IdP で SCIM 同期ログを照会し、問題をトラブルシューティングします。
IdP 内のユーザーの UPN が、RAM に同期された UPN と異なります。考えられる原因は次のとおりです： SCIM を使用して RAM に同期されたユーザーのユーザー名が UPN を使用していません。 SCIM 同期設定でユーザー名マッピングの変換ルールが構成されています。	IdP の SSO 設定で構成された変換ルールが、SCIM 同期設定で構成された変換ルールと同じであることを確認します。
SAML 応答の `Conditions` 要素に含まれる `Audience` サブ要素に無効な値が設定されています。具体的には、`accountId` の値が無効です。	SAML 応答で、`Conditions` 要素内の `AudienceRestriction` サブ要素を見つけてください。また、AudienceRestiction サブ要素に `Audience` サブ要素が含まれており、`Audience` サブ要素が `https://signin-intl.aliyun.com/${accountId}/saml/SSO` に設定されていること、および `${accountId}` の値が Alibaba Cloud アカウントの ID であることを確認してください。一部の IdP は Audience URL サブ要素を使用します。サブ要素の値が正しいことを確認してください。

ロールベース SSO 中に「NoPermission.NotTrusted」というエラーメッセージが表示された場合の対処法

原因

解決策

SAML 応答の AttributeStatement 要素で、Name 属性が https://www.aliyun.com/SAML-Role/Attributes/Role に設定されている Attribute 要素を検索します。Attribute 要素の値は、RAM ロールの名前と IdP の名前の組み合わせです。RAM ロールの名前と IdP の名前が Alibaba Cloud に存在しない場合、または RAM ロールの信頼ポリシーで構成されている IdP が Name 属性の値の IdP と異なる場合、エラーメッセージが表示されます。詳細については、「ロールベース SSO の SAML 応答」をご参照ください。

Alibaba Cloud の RAM ロールの名前または IdP の名前を変更して、Alibaba Cloud の RAM ロールの名前または IdP の名前が SAML 応答の RAM ロールの名前または IdP の名前と同じになるようにします。詳細については、「ロールベース SSO のために Alibaba Cloud の SAML 設定を構成する」および「ロールベース SSO のために Alibaba Cloud を信頼できる SP として構成する」をご参照ください。
RAM ロールの信頼ポリシーを変更して、RAM ロールの信頼ポリシーで指定されている IdP 名が実際の IdP 名と同じであることを確認します。詳細については、「例 3: RAM ロールの信頼できるエンティティを IdP に変更する」をご参照ください。

ロールベース SSO 中に「Role attribute error」というエラーメッセージが表示された場合の対処法

原因	解決策
`Name` 属性が `https://www.aliyun.com/SAML-Role/Attributes/Role` に設定されている `Attribute` 要素が、IdP で構成されていないか、無効です。	IdP の `Attribute` 要素の構成を変更します。詳細については、「ロールベース SSO の SAML 応答」をご参照ください。

ロールベース SSO 中に「InvalidParameter.RoleSessionName」エラーメッセージが表示された場合の対処法

原因	解決策
`Name` 属性が `https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName` に設定されている `Attribute` 要素が、IdP で無効です。	IdP の `Attribute` 要素の構成を確認し、変更します。Attribute 要素が存在するかどうかを確認します。次に、`Attribute` 要素が正しく指定されているかどうかを確認します。Attribute 要素の値は 2～64 文字で、文字、数字、および次の特殊文字のみを含めることができます：`- _ . @ =`。詳細については、「ロールベース SSO の SAML 応答」をご参照ください。
現在のログインユーザーに対して、IdP で RoleSessionName 要素に対応する属性の値を指定していません。たとえば、IdP で RoleSessionName 要素に Email 属性が指定されていますが、IdP で現在のログインユーザーの Email 属性に値を指定していません。	IdP で RoleSessionName 要素に属性が指定されており、現在のログインユーザーの属性に値が指定されていることを確認します。

SSO ログイン中に「The assertion signature is invalid」および「The assertion signature is invalid or Sigin token expired」というエラーメッセージが表示された場合の対処法

原因	解決策
IdP で署名に使用される公開鍵と秘密鍵のペアがローテーションされています。しかし、Alibaba Cloud の IdP のメタデータは更新されていません。	Alibaba Cloud の IdP のメタデータを更新します。IdP から最新のメタデータファイルをダウンロードし、そのメタデータファイルを Alibaba Cloud にアップロードします。
IdP で署名に使用される公開鍵と秘密鍵のペアがローテーションされ、Alibaba Cloud の IdP のメタデータが更新されました。ローテーション中に、元の秘密鍵がまだ IdP で使用されている可能性があります。Alibaba Cloud の IdP のメタデータには、新しい公開鍵のみが含まれています。	IdP のメタデータに元の公開鍵と新しい公開鍵の両方を指定することを推奨します。証明書を作成します。元の証明書を無効にしたり、削除したりしないでください。新しいメタデータファイルをダウンロードし、元の公開鍵と新しい公開鍵がメタデータファイルに含まれているかどうかを確認します。 Azure AD などの一部の IdP では、元の証明書と新しい証明書が新しいメタデータファイルに含まれています。新しいメタデータファイルに元の公開鍵と新しい公開鍵が含まれていない場合は、元の証明書と新しい証明書を新しいメタデータファイルに手動で追加する必要があります。RAM コンソールの SSO 設定から元のメタデータファイルをダウンロードし、`X509Certificate` 要素の情報 (元の証明書の情報) をコピーできます。コピーした情報を新しいメタデータファイルの `KeyDescriptor` 要素に追加し、変更を保存します。新しいメタデータファイルを RAM コンソールの SSO 設定にアップロードします。 IdP の SSO 設定で新しい証明書を有効にし、元の証明書を無効にします。
メタデータファイルのサイズが大きすぎるため、メタデータファイルのアップロードに失敗しました。	アップロードが完了するまで待ちます。アップロードが完了したら、アップロードされたメタデータファイルをダウンロードして、メタデータファイルがアップロードされているかどうかを確認します。

セルフマネージド IdP のメタデータでパラメーターが指定されていないか無効であると表示された場合の対処法

原因	解決策
メタデータ内のパラメーターが SAML 2.0 プロトコルに基づいて構成されていません。	SAML 2.0 プロトコルに基づいてパラメーターを構成します。詳細については、「SAML 2.0」をご参照ください。