マルチ SSO (SAML 2.0) のエラーと修正

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:9分

    • マルチ SSO (SAML 2.0) のセットアップと構成に関する一般的なエラーと関連する修正のリスト。

    表 : 1. マルチ SSO (SAML 2.0) セットアップ中のエラー
    インスタンスログのエラー テスト接続メッセージ SAML プロパティ 診断 修正
    NotAfter:<Thu Jun 05 22:57:44 PDT 2014> IDP x509 証明書が存在し、有効かつアクティブであることを確認してください。 適用外 現在の証明書または SAML アサーションの有効期限が切れました。
    • SNC クロックを SAML IdP サーバークロックと同期します。
    • SAML 2.0 証明書レコードを更新します。
    • SAML 2.0 証明書を特定できません。
    • ServiceNow インスタンスに保存されているデジタル署名が見つかりませんでした。(Could not find a digital signature stored in the ServiceNow instance.)
    		 IDP x509 証明書が存在し、有効かつアクティブであることを確認してください。 PEM 形式の文字列を [PEM 証明書] フィールドに入力する必要があります。 SAML 証明書が存在しません。非アクティブの可能性があります。 正しい PEM 形式の証明書がインスタンスにアップロードされていることを確認します。
    証明書が一致しません。(Certificates do not match.) 想定:<certStr>、実際:<inboundCert> (Expect: <certStr>, actual: <inboundCert>.) IDP x509 証明書が存在し、有効かつアクティブであることを確認してください。 適用外 SNC で利用可能な証明書がアサーションの証明書と一致しません。次のような原因が考えられます。
    • IdP では証明書が更新されているが、ServiceNow インスタンスで更新されていない。
    • 証明書の形式が正しくない。
    		 SAML 2.0 証明書レコードの PEM 形式の文字列が、ユーザー IdP の SAMLResponse の X509 証明書と一致していることを確認します。
    証明書の有効性の確認に失敗しました。(Failure to check the validity of the certificate.) IDP x509 証明書が存在し、有効かつアクティブであることを確認してください。 適用外 現在の証明書の有効期限が切れている可能性があります。 SAML 2.0 証明書レコードを更新します。
    署名プロファイルの検証に失敗しました。(Failure to validate signature profile.) IDP x509 証明書が存在し、有効かつアクティブであることを確認してください。 適用外 アサーションが別の証明書で署名されている可能性があります。 IdP に SNC インスタンスと同じ証明書があるかどうかを確認します。
    SubjectConfirmationData の InResponseTo 属性が一致しません。(InResponseTo attribute in SubjectConfirmationData mismatch.) 想定:<inResponseTo>、実際:<inResponseTo> (Expect: <inResponseTo>, actual: <inResponseTo>.) SubjectConfirmation の検証に失敗しました。 適用外 このエラーは、次のいずれかの状況が発生した場合に表示されます。
    • IdP が別の SAMLRequest の SAMLResponse を返す場合
    • ユーザーがインスタンス URL ではなく SAMLRequest を使用して URL をブックマークする場合
    • null 値が想定される場合、インスタンスに複数のノードがあると、応答が別のノードに送信される可能性があります。
    		 IdP admin は、想定される SAMLReponse が返されていることを確認する必要があります。この状況は、ロードバランサーまたはインフラストラクチャの問題である可能性があります。
    SessionIndex 値が見つかりません:<メッセージ>... (SessionIndex value not found: <message>...) SessionIndex が有効ではありません。(SessionIndex not valid.) 適用外 SNC インスタンスには SessionIndex が必要です。IdP はこれを SAML 応答で返して正常に認証します。

    IdP admin は、SessionIndex が SAMLResponse で定義されていることを確認する必要があります。
    有効な SubjectConfirmation が見つかりません。 SubjectConfirmation の検証に失敗しました。 適用外 IdP のエラーにより、条件が欠落している可能性があります。

    応答の StatusCode には、想定される成功ではなくレスポンダーが含まれます。

    SAMLResponse を確認して、SAMLResponse に条件が含まれているかどうかを判断します。

    有効な件名確認データの有効期限が切れているか、対象者に対して適切でない可能性があります。

    アサーション対象者が一致しません。(Assertion audience mismatch.) 想定:<propAudience>、実際:<audienceUri> (Expect: <propAudience>, actual: <audienceUri>.)

    または

    AudienceRestriction の検証に失敗しました。一致する対象者が見つかりません。(No matching audience found.)

    		 [対象者 URI] フィールドが正しく設定されていることを確認します (Ensure that the 'Audience URI' field is set correctly) SAML2 トークンを受け入れる対象者 URI (通常、インスタンス URI。たとえば https://demo.service-now.com)。 SNC インスタンスで構成された対象者 URI は、IdP の値と一致する必要があります。 ログの SAMLResponse で <saml2:Audience> を探し、値がインスタンスの値と一致することを確認します。
    アサーションの発行者が無効です。想定:<value on instance>、実際:<value returned by IdP> (Expect: <value on instance>, actual: <value returned by IdP>) アサーションの発行者が無効です。 ユーザー情報と一緒に SAML2 セキュリティトークンを発行する ID プロバイダの URL。 IdP エンティティ ID (発行者) が SNC インスタンスで定義された値と一致しません。
    • IdP または SP の設定が不適切でないか確認します。
    • SAML プロパティ (ユーザー情報と一緒に SAML2 セキュリティトークンを発行する ID プロバイダの URL) が正しく設定されているか確認します。

    件名は将来有効になります。(Subject is valid in the future.) 現在:<now>、NotBefore:<notBefore> (Now: <now>, NotBefore: <notBefore>)

    または

    件名の有効期限が切れました。(Subject is expired.) 現在:<now>、NotOnOrAfter:<notOnOrAfter> (Now: <now>, NotOnOrAfter: <notOnOrAfter>)

    		 件名の検証確認に失敗しました。(Subject validation confirmation failed.) notBefore 制約の前、または notOnOrAfter 制約の後に、まだ有効であるとみなされる時間の秒数。 IdP クロックが SP クロックと同期していません。 SAML プロパティ glide.authenticate.sso.saml2.clockskew をより大きな値に更新します。デフォルトは 180 秒です。場合によっては 300 以上の設定が必要になります。IdP サーバーの時間も確認する必要があります。

    アサーションは将来有効になります。現在:<now>、notBefore:<notBefore> (Assertion is valid in the future, now: <now>, notBefore: <notBefore>)

    または

    アサーションの有効期限が切れました。現在:<now>、notOnOrAfter:<notOnOrAfter>

    		 アサーションが無効です。 notBefore 制約の前、または notOnOrAfter 制約の後に、まだ有効であるとみなされる時間の秒数。 IdP クロックが SP クロックと同期していません

    SAML プロパティをより大きな値に更新します。デフォルトは 60 秒です。場合によっては 300 以上の設定が必要になります。IdP サーバーの時間も確認する必要があります。
    表 : 2. 一般的なログインおよび IdP エラー
    エラーまたは症状 診断 修正
    高セキュリティがアクティブな場合、ログイン要求はシステムと IdP の間で無限ループを生成します。 失敗した認証要求をこの URL にリダイレクトするには、システムプロパティ glide.authenticate.failed_redirect を設定 (または作成) します。
    ユーザーまたは要求の認証に使用されるトークンが、署名アルゴリズム http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 で署名されています。これは、想定される署名アルゴリズム http://www.w3.org/2000/09/xmldsig#rsa-sha1 とは異なります。 イベントの詳細については、 [アラートコンテキスト (Alert Context)] タブを確認してください。 [証明書利用者信頼設定 (Relying Party Trust configuration)] ダイアログの [詳細] タブに移動し、アルゴリズムが SHA-256 ではなく SHA-1 に設定されていることを確認します。
    エラーメッセージ urn:oasis:names:tc:SAML:2.0:status:Requester がシステムログ (syslog) テーブルに表示されます。 IdP (ADFS など) の応答が oasis:names:tc:SAML:2.0:status:Requester のステータスの場合は、送信された要求に関する問題が原因で IdP がログインを拒否したことを意味します。ほとんどの場合、IdP から受信した SAML 応答にはエラーの詳細が記載されていません。 IDP に送信された SAML 要求を確認し、IDP アドミニストレーターと協力してインスタンスの SAML 設定を更新して、エラーを回避してください。ログイン失敗の理由については、IDP プロバイダーにお問い合わせください。