SAML認証のトラブルシューティング

SAML認証に関するトラブルの解決方法を説明します。
SAML認証が正しく行われない場合、次のURLにアクセスするとcybozu.comのアカウントでログインし、問題を調査できます。
https://(サブドメイン名).cybozu.com/login?saml=off
  • Identity Provider(IdP)にActive Directory Federation Services(ADFS)2.0を使用している場合の注意
    cybozu.comからログアウトし、同じWebブラウザーで再度cybozu.comにアクセスすると、ログイン後の画面が表示される場合があります。
    この現象はADFSにCookieが残存するために発生します。ログイン後の画面が表示されても、cybozu.comからのログアウト自体は成功しています。
    ログアウト後にWebブラウザーを再起動してからcybozu.comにアクセスしてください。

SAML認証に関するエラー

エラーコード エラーメッセージ 原因 対処
SLASH_SA01 SAMLResponse内のNameIDと一致するログイン名を持つユーザーが見つかりません。 SAMLResponse内のNameIDと一致するログイン名を持つユーザーが、cybozu.comに存在しません。
  • IdPの設定を変更し、ユーザーを識別する要素にNameIDを指定してください。
  • NameIDに関連付けた値と、cybozu.comのユーザーのログイン名を一致させてください。
SLASH_SA02 SAMLResponseに対応するAuthnRequestがありません。 次のような場合に発生します。
  • 1つのセッションで複数のSAMLリクエストを発行した。
    例:
    • 同じWebブラウザーの複数のタブで、SSOを行おうとした。
    • SSO後に、Webブラウザーの戻るボタンをクリックし、cybozu.comのエンドポイントURLを表示しようとした。
  • IdP InitiatedなSSOを行おうとした。
  • 1つのセッションで、複数のSAMLリクエストを発行する操作をしないでください。
  • IdPの設定を変更し、SP InitiatedなSSOを行ってください。
SLASH_SA03 リクエストパラメータにSAMLResponseがありません。 IdPがcybozu.comに送信したリクエストパラメータに、SAMLResponseがありません。 SAMLResponseの送信を妨げるものがないか確認してください。
SLASH_SA04 SAMLResponseが無効です。 SAMLResponse内のResponse要素の内容が無効です。 検証結果がFailedの項目の設定を見直してください。
次の情報も参考にしてください。
SAMLResposeの検証結果を確認する
SLASH_SA05 HTTPメソッドが不正です。HTTPメソッドにPOSTを指定してください。 HTTP POST Binding以外で、SAMLレスポンスを送信しています。
  • IdPの設定を変更し、HTTP POST BindingでSAMLレスポンスを送信してください。
  • プロキシサーバーなどで、HTTPメソッドがPOST以外のものに変換されていないかどうか確認してください。
SLASH_FA01 SAMLResponseの処理に失敗しました。 予期せぬエラーが発生し、SAMLResponseを処理できません。 お手数ですがサイボウズまでお問い合わせください。

SAMLResponseの検証結果を確認する

SAMLResponseの検証結果がFailedとなった場合、検証項目ごとに次の対処を行います。

  • 現在の時刻が、Conditions要素のNotBefore属性とNotOnOrAfter属性で指定した期間内である。
    IdPとcybozu.comの日時の設定が異なる可能性があります。
    IdPの設定を変更し、正しい日時を設定します。
  • SubjectConfirmationData要素のInResponseTo属性がAuthnRequestのIDと一致する。
    同じWebブラウザーの複数のタブで、SSOを行おうとした可能性があります。
    タブをひとつだけ開いた状態でログインした場合に、エラーが解消するかどうかを確認します。
  • Audience要素に正しい値が指定されている。
    cybozu.comをSPとして登録する際に、不正なエンティティIDを指定した可能性があります。
    SPのエンティティIDには、「https://(サブドメイン名).cybozu.com」を指定します。
  • Assertion要素またはResponse要素に署名があり、その署名が有効である。
    公開鍵の証明書が不正な可能性があります。
    cybozu.com共通管理の「ログインのセキュリティ設定」画面で、「Identity Providerが署名に使用する公開鍵の証明書」に正しい証明書を添付します。
    証明書はRSAかDSAのアルゴリズムで生成した、X.509形式のものを使用します。