概要
本記事では、シングルサインオン(SSO)が失敗した時のエラー内容と対応方法についてご案内します。
エラー画面
エラーが発生すると、以下のようなエラー画面・エラーメッセージが表示されます。
エラーの対応方法
エラーが発生した場合、エラー内容によって対応方法が変わります。
エラーコード/メッセージを確認し対応を行ってください。
設定変更対象:「楽楽明細」
「楽楽明細」の設定変更が必要です。
| コード | エラーメッセージ | 対応方法 |
|---|---|---|
| 00001 | シングルサインオンが無効に設定されています。 | 「楽楽明細」の「シングルサインオンの設定」を有効にしてください。 |
| 00015 | 予期せぬエラーが発生し、SAMLResponseを処理できません。 | 「楽楽明細」サポートセンターまでご連絡ください。 |
設定変更対象:IDプロバイダー(IdP)
IDプロバイダー(IdP)の設定変更が必要です。
※IDプロバイダー(IdP)の管理者へお問い合わせください。
| コード | エラーメッセージ | 対応方法 |
|---|---|---|
| 00002 | IdPがHTTP POST Binding以外でSAMLResponseを送信しています。 HTTPメソッドにPOSTを指定してください。 |
・IDプロバイダーが「HTTP POST Binding」方式でSAMLResponseを送信するように、IDプロバイダーの設定を確認してください。 ・プロキシサーバーなどでHTTPメソッドPOST以外のものに変換されていないか確認してください。 |
| 00003 | IdPが送信したリクエストパラメータにSAMLResponseがありません。 | ・IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 ・プロキシサーバーなどでリクエストパラメータが改変されていないか確認してください。 |
| 00004 | SAMLResponseの○○○要素が存在しない、または、形式が正しくありません。 | IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 |
| 00005 | SAMLResponseのバージョンが異なります。 SAML2.0に準拠している必要があります。 |
IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 |
| 00006 | SAMLResponseに署名が存在しない、または無効な署名です。 | ・IDプロバイダーがSAMLResponseに署名を付加していない可能性があります。IDプロバイダーの設定を確認してください。 ・IDプロバイダーの公開鍵の証明書が不正な可能性があります。「楽楽明細」のシステム設定画面で正しい証明書を添付してください。RSAかDSAのアルゴリズムで生成されたX.509形式の証明書が利用できます。 |
| 00007 | IdPでエラーが発生しました。 「(IdPが返してきたエラーメッセージが表示されます。)」 |
IDプロバイダーのエラー情報(ログファイルなど)を確認してください。 |
| 00008 | SAMLResponseのSubjectConfirmation要素のmethod属性が正しくありません。 | IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 |
| 00009 | SAMLResponseに対応するAuthnRequestがありません。 SubjectConfirmationData要素のInResponseTo属性が、AuthnRequestのIDと一致しません。 |
・同じWebブラウザーの複数のタブで「楽楽明細」へのログインを行おうとした可能性があります。 タブを1つだけ開いた状態で「楽楽明細」にログインしてください。 ・Webブラウザーのキャッシュが影響している可能性があります。 Webブラウザーを再起動するか、Webブラウザのキャッシュを削除して、「楽楽明細」にログインしてください。 |
| 00010 | SAMLResponseに対応するAuthnRequestがありません。SubjectConfirmationData要素の Recipient属性が、AuthnRequestのAssertionConsumerServiceURLと一致しません。 |
「楽楽明細」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。 「楽楽明細」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。 |
| 00011 | SAMLResponseの有効期限が切れています。SubjectConfirmationData要素の NotOnOrAfter属性に有効期間外の日時が指定されています。 |
IDプロバイダーと「楽楽明細」のシステム日時がずれている可能性があります。 IDプロバイダーのシステム日時を確認してください。 |
| 00012 | SAMLResponseの有効期限が切れています。Conditions要素のNotBefore属性と NotOnOrAfter属性に有効期間外の日時が指定されています。 |
IDプロバイダーと「楽楽明細」のシステム日時がずれいてる可能性があります。 IDプロバイダーのシステム日時を確認してください。 |
| 00013 | SAMLResponseのAudience要素が正しくありません。 Audience要素に記載されているURLをご確認ください。 |
「楽楽明細」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。 「楽楽明細」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードして、サービスプロバイダーとして登録してください。 |
| 00014 | SAMLResponse内のNameIDと一致するシングルサインオン認証済みIDのスタッフが見つかりません。 |
IDプロバイダーで、「楽楽明細」のスタッフを識別する要素にNameIDを指定し、その要素の値と「楽楽明細」のスタッフのシングルサインオン認証済みID(NameID)を一致させてください。 |
(記事ID:1088)
