Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Google SecOps SOAR での SAML の問題のトラブルシューティング

以下でサポートされています。

SOAR

このドキュメントでは、Google Security Operations SOAR プラットフォームで SAML 認証を使用する際に発生する一般的な問題のトラブルシューティング方法について説明します。

ディレクトリにアプリケーションが見つからない

メッセージ: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

説明: Azure AD（基本的な SAML）の構成とシステムが一致していません。

修正: Azure AD で、Identifier (エンティティ ID) を SP のエンティティ ID に設定し、Reply URL (ACS) が SP と一致していることを確認します。正しいテナントにログインしていること、ユーザーがアプリに割り当てられていることを確認します。

saml:AuthnContextDeclRef の値が無効である

メッセージ: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

説明: このエラーは、SAML レスポンスの saml:AuthnContextDeclRef の値が無効であることを示します。

修正: SAML レスポンスをデコードして確認します。IdP が無効な AuthnContextDeclRef を送信する場合は、削除するか、サポートされている saml:AuthnContextClassRef（urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport など）に切り替えます。

System.ArgumentException: 'System.String' must be an absolute URI

メッセージ: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

説明: NameID Format は、SP でサポートされている有効な絶対 URI（URN）である必要があり、<saml:NameID> 値が存在する必要があります。

修正: SAML 構成で DefaultNameIDFormat パラメータを次のいずれかのオプションに設定します。

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress（最も一般的 ）
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

ユーザー属性が見つからず、`LoginIdentifier` フィールドが必須である

メッセージ: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

説明: Just-In-Time（JIT）プロビジョニングが有効になっている場合、SP は NameID（またはマッピングされた属性）を使用してユーザーを検索します。受信した値が既存のログイン ID と一致しません。

修正: ユーザー管理（Settings > User Management）の [Login ID] フィールドと一致する値を送信するように IdP を構成する必要があります。この値は、ユーザーのメールアドレスまたは別の一意の ID になります。

ユーザータイプの不一致

メッセージ: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

説明: 同じログイン ID のアカウントが Internal として存在しますが、SAML 認証には External ユーザーが必要です。

修正: SAML 認証方法と一致するように、競合するユーザー名を持つ既存のユーザーのユーザータイプを External に変更します。

リダイレクトループ

インスタンスが IdP ログインページに自動的にリダイレクトされるように構成されていて、リダイレクトループが継続的に発生する場合は、インスタンスのホスト名に次のテキストを追加して、自動リダイレクトを一時的に無効にできます。

/#/login?autoExternalLogin=false

さらにサポートが必要な場合コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。