SAMLエラーのトラブルシューティング
無効な要求 - 接続が無効です
理由
このメッセージは、アプリケーションにアクティブな接続が関係付けられていないことを示しています。
解決策
[SAML]をクリックします。
確認したい接続をクリックします。
[Applications(アプリケーション)]タブをクリックします。
少なくとも1つのアプリケーションを有効にします(リストが空の場合には、処理を進める前に、アプリケーションを作成する必要があります)。
IdP起点のデフォルトアプリが構成されていません
理由
このエラーは、IdP起点のログインフローへの対応に必要な情報が提供されていない場合に表示されます。
解決策
[SAML]をクリックします。
確認したい接続をクリックします。
[IdP-Initiated SSO(IdP起点のSSO)]タブに切り替えます。
[Accept Requests(要求を許可する)]を選択し、[Default Application(デフォルトのアプリケーション)]とそのアプリケーションが使用する[Response Protocol(応答プロトコル)]を選択してから、(任意で)アプリケーションに渡したい追加のパラメーターを指定します。
[Save Changes(変更を保存)]をクリックします。
SP起点のログインのトラブルシューティング
SP起点のフローでこのエラーが表示される場合、次のいずれかが欠けているか、空である可能性があります。
RelayStateパラメーターSAML応答にあるべき
InResponseTo属性
これらが欠けている場合、Auth0はログインをIdP起点として扱います。エラーを解消するには、構成をチェックして、両方のフィールドが適切に入力されていることを確認してください。
RelayStateパラメーターがありません
理由
このエラーは、IDプロバイダーが応答でRelayStateパラメーターを返さない場合に発生します。
解決策
IDプロバイダーに問い合わせて、RelayStateパラメーターが必ず返されるようにしてください。
オーディエンスが無効です
このエラーは、IDプロバイダーのSAML応答にあるaudience値がAuth0で予期する値と一致しない場合に発生します。この値に、Auth0は接続のエンティティIDを期待します。
解決策
[SAML]をクリックします。
確認したい接続をクリックします。
[Setup(セットアップ)]タブの[Common Settings(共通設定)]セクションにある2番目のパラメーターがエンティティIDです。IDプロバイダーがSAML応答で正しい
audience値を送信することを確認します。
不正なプロトコルが指定されました
[IdP-Initiated(IdP起点)]タブに不正な応答プロトコルがあります。この応答プロトコルは、Auth0とアプリケーション(リモートIDプロバイダーではない)の間で使用されます。たとえば、この値をSAMLに設定して、アプリケーションがOpenID ConnectまたはWS-Fedを期待する場合には、不正な構成のためにエラーが発生します。
解決策
[SAML]をクリックします。
確認したい接続をクリックします。
[Settings(設定)]タブの[Response Protocol(応答プロトコル)]フィールドに設定されている値を確認します。
ユーザーがIdPからログアウトしていません
ADFSがSAML IdPとして構成されている場合、ADFSの証明書利用者信頼のName ID属性がマッピングされていないと、ログアウトフローが失敗します。たとえば、フェデレーションパラメーターのv2/logout?federated&...では、ユーザーはADFS SAMLログアウトエンドポイントにリダイレクトされずに、アプリケーションのコールバックURLに直接リダイレクトで戻されます。この場合、結果的に、ユーザーはIdPからログアウトされません。
解決策
Name ID属性を[SAML Relaying Party Trust(証明書利用者信頼)]のルールとして追加します。
IdP起点のSSOを使用したい場合には、[SAML Identity Provider(SAML IDプロバイダー)]に移動して、接続パラメーターを必ずポストバックURL(別称Assertion Consumer Service URL)[推奨されるCallback URL]に含めます。
/login/callbackへの要求でクエリ文字列にconnection=xxxxが含まれていません。
解決策
クエリ文字列にconnection=xxxxパラメーターを含めます。