シングルサインオンエラー発生時の対処方法|SAML ログイン履歴のレビュー・SAMLアサーション検証
IT・技術関連
更新日:2024.09.05
エンジニア採用
シングルサインオンエラー発生時の対処方法 シングルサインオンエラー発生時には以下の方法でエラーの原因を特定します。 ・SAML ログイン履歴のレビュー ・「件名を Salesforce.com ユーザにマッピングすることはできません」エラーが発生
SAML ログイン履歴のレビュー
別にログイン履歴画面でエラーメッセージが表示されるかを確認します。 表示される場合の解決方法、また表示されない場合に考えられる原因もご紹介しますので、ぜひ参考にしてみてください。表示される場合
表示される場合はログインの失敗が SAMLアサーションに関連しているかSalesforce設定に関連しているかを確認します。 SAMLアサーションに関連している場合はSAMLアサーション検証を使用して具体的なシングルサインオンエラーを見つけます。 Salesforce設定に関連している場合はSSO設定で設定を確認します。表示されない場合
表示されない場合は以下の原因が考えられます。 SAMLアサーション検証エラーが表示され、ログイン履歴が表示されない場合、Salesforce上にIdプロバイダ側から送信されたユーザ情報が存在していない可能性があります。 SAML内に記載されているユーザ名、ユーザIDまたは統合IDがSalesforce上に存在するかを確認してください。 SAMLアサーション検証エラーとログイン履歴のどちらも表示されない場合、Idプロバイダから送られる SAMLアサーションが対象組織に届いていない可能性があります。 Idプロバイダ側でSalesforce のエンドポイントURLが正しく設定されているかを確認してください。SalesforceのエンドポイントURLは、シングルサインオン設定画面の [ログイン URL] 項目に表示されています。「件名を Salesforce.com ユーザにマッピングすることはできません」エラーが発生
「件名を Salesforce.com ユーザにマッピングすることはできません」エラーが発生するのは、ユーザのマッピングが一致していない事を示してます。 IdプロバイダとSalesforceのユーザの対応付けを確認してください。ログイン履歴
シングルサインオンエラーがSAMLアサーションに関連しているかSalesforce設定に関連しているかを確認します。 それぞれのケースごとに確認する方法を紹介しますので、参考にしてください。シングルサインオンエラーがSAMLアサーションに関連
ログイン履歴に次のいずれかのエラーがある場合は、SAMLアサーション検証を使用してアサーション内の具体的なエラーを見つけます。 エラーの種類と説明などの詳細は、下記のテーブルを参考にしてください。エラーメッセージ | 説明 |
---|---|
アサーションが期限切れです | アサーションのタイムスタンプが古すぎます。 |
サーションが無効です | アサーションに問題があります ( |
利用者が無効です | [Audience] で指定された値が SSO 設定中に指定した [エンティティ ID] と一致しません。 |
シングルサインオンエラーがSalesforce設定に関連
ログイン履歴に次のいずれかのシングルサインオンエラーがある場合は、SSO設定で設定を確認します。 エラーの種類と説明などの詳細は、下記のテーブルを参考にしてください。エラーメッセージ | 説明 |
---|---|
設定エラー/無効な権限 | SalesforceのSAML設定に問題があります。 |
発行者が一致しません | 発行者がアサーション内の発行者と不一致です。 |
受信者が一致しません | 受信者がアサーション内の受信者と不一致です。 |
再実行が検出されました | 重複するアサーションIDを検出しました。 |
署名が無効です | 証明書がアサーション内の署名を検証できませんでした。 |
件名確認エラー |
SAMLアサーション検証
SAMLアサーション検証を実行すると、Salesforceの有効性要件に対してアサーションをチェックします。 チェックする項目と説明などの詳細は、下記のテーブルを参考にしてください。アサーションの有効性 | 説明 |
---|---|
状況 | SAML レスポンスの状況項目に成功と示されている必要があります。 |
認証ステートメント | アサーションには |
条件ステートメント | アサーションが有効である期間を制約します。 |
タイムスタンプ | アサーションを送信した日時を示すタイムスタンプを制約します。 |
属性 | アサーションに |
形式 | |
発行者 | アサーションで指定された発行者は、設定の発行者と一致する必要があります。 |
件名 | アサーションの件名は、Salesforce ユーザ名またはユーザの統合IDのいずれかにする必要があります。 |
利用者 | アサーションには、 |
受信者 | アサーションには、受信者が含まれる必要があります。 |
署名 | アサーションには、署名が含まれている必要があります。 |
サイトURL属性 | アサーションには、サイトURL属性が含まれている必要があります。 |
ポータルおよび組織ID | 省略可能。アサーション内の受信者および組織IDが設定と一致する必要があります。 |
セッションセキュリティレベル | 省略可能。セッションセキュリティレベルは、ユーザセッションの安全性を表します。アサーション内のセッションセキュリティレベルが設定と一致する必要があります。 |
「件名をSalesforce.comユーザにマッピングすることはできません」エラーが発生する
ユーザ情報のマッピングが一致していないのが原因です。 IdプロバイダとSalesforceのユーザ情報のマッピングは、ユーザのSalesforceユーザ名、ユーザオブジェクトの統合ID、またはユーザオブジェクトのユーザIDで行われます。 ユーザ情報のマッピングは、シングルサインオン設定の [SAML ID 種別] に指定された項目がIdプロバイダ側に設定された値と一致するかで判定されます。 このエラーを解消するため、IdプロバイダとSalesforceのユーザの対応付けを確認しましょう。Salesforceシングルサインオンエラー対策はこれでバッチリ
Salesforceシングルサインオンエラーが発生しても怖くありません。 エラー発生原因を特定し、特定したらエラー原因を取り除くだけです。これであなたもシングルサインオンのスペシャリストになれます。]]>この記事の監修者・著者
-
ITエンジニア派遣サービス事業を行っています。AWSやSalesforceなど専門領域に特化したITエンジニアが4,715名在籍し、常時100名以上のITエンジニアの即日派遣が可能です。
・2021年:AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
・2022年3月:人材サービス型 AWSパートナー認定
・AWS認定資格保有者数1,154名(2024年6月現在)
・Salesforce認定コンサルティングパートナー
・Salesforce認定資格者276名在籍(2024年5月現在)
・LPIC+CCNA 認定資格者:472 名(2024年6月時点)
最新の投稿
- 2024-07-01営業インタビュー最短で当日にご提案可能。 OPE営業の対応が早い3つの理由
- 2024-07-01営業インタビュー研修見学ツアーが高評価!「お客様のOPEに対する期待を高め、継続に貢献できればと思います。」
- 2024-07-01営業インタビュー信頼関係を構築し、エンジニアの長期就業へ
- 2024-06-30キャリアインフラエンジニアはやめとけって本当?きつい理由を口コミを交えて解説
ITエンジニアの派遣を利用したい企業様へ
- 求人・転職サイトや自社採用サイトを使っているが、自社に合ったITエンジニアが応募してこない…
- すぐに採用したいが、応募がぜんぜん集まらない
こんな悩みをお持ちの採用・人事担当者の方は、
オープンアップITエンジニアをご検討ください!
オープンアップITエンジニアをご検討ください!
当社のITエンジニア派遣サービスは
- 派遣スピードが速い!(最短即日)
- 4,500名のエンジニアから貴社にマッチした人材を派遣
- 正社員雇用も可能
こんな特長があり、貴社の事業やプロジェクトに合った最適なITエンジニアを派遣可能です。
まずは下記ボタンから無料でご相談ください。