このページは Cloud Translation API によって翻訳されました。

Google SecOps SOAR で SAML の問題をトラブルシューティングする

以下でサポートされています。

SOAR

このドキュメントでは、Google Security Operations SOAR プラットフォームで SAML 認証を使用する際に発生する可能性のある一般的な問題のトラブルシューティング方法について説明します。

このセクションでは、SAML 認証エラーのトラブルシューティング方法と解決策を示します。

ディレクトリにアプリケーションが見つかりません

メッセージ: AADSTS700016: Application with identifier 'https://yyy.yyyyyy.com/api/auth/saml/metadata' was not found in the directory 'yyy'.

説明: Azure AD（基本的な SAML）の構成とシステムの間で不一致があります。

修正: Azure AD で、識別子（エンティティ ID）を SP のエンティティ ID に設定し、応答 URL（ACS）が SP と一致していることを確認します。正しいテナントにログインしていること、ユーザーがアプリに割り当てられていることを確認します。

saml:AuthnContextDeclRef の値が無効です

メッセージ: Microsoft.IdentityModel.Tokens.Saml2.Saml2SecurityTokenReadException: IDX13102: Exception thrown while reading 'System.String' for Saml2SecurityToken. Inner exception: System.ArgumentException.

説明: このエラーは、SAML レスポンスの saml:AuthnContextDeclRef の値が無効であることを示します。

修正: SAML レスポンスをデコードして検査します。IdP が無効な AuthnContextDeclRef を送信した場合は、削除するか、サポートされている saml:AuthnContextClassRef（urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport など）に切り替えます。

System.ArgumentException: 'System.String' は絶対 URI である必要があります

メッセージ: /ds:Signature>saml:Subject<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" System.ArgumentException: IDX13300: 'System.String' must be an absolute URI, was: 'System.Uri"></saml:NameID>

説明: NameID Format は、SP でサポートされている有効な絶対 URI（URN）である必要があり、<saml:NameID> 値が存在している必要があります。

修正: SAML 構成の DefaultNameIDFormat パラメータを次のいずれかのオプションに設定します。

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress（最も一般的）
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
urn:oasis:names:tc:SAML:2.0:nameid-format:transient

ユーザー属性が見つからず、`LoginIdentifier` フィールドが必須である

メッセージ: logs Server error Login error for user _yyyyyyyyyyyyyyyyyyyyyyy. User attributes were not found for creating new followed by Error: register : The LoginIdentifier field is required.

説明: ジャストインタイム（JIT）プロビジョニングが有効になっている場合、SP は NameID（またはマッピングされた属性）を使用してユーザーを検索します。受信した値が既存のログイン ID と一致しません。

修正: ユーザー管理（[設定] > [ユーザー管理]）の [ログイン ID] フィールドと一致する値を送信するように IdP を構成する必要があります。この値は、ユーザーのメールアドレスまたは別の一意の ID である可能性があります。

ユーザータイプの不一致

メッセージ: Login error for user user@user.com. User type (Internal) does not match to this type of authentication (External).

説明: 同じログイン ID のアカウントが Internal として存在しますが、SAML 認証には External ユーザーが必要です。

修正: 競合するユーザー名を持つ既存のユーザーのユーザータイプを、SAML 認証方法に合わせて [外部] に変更します。

リダイレクトループ

インスタンスが IdP ログインページに自動的にリダイレクトされるように構成されていて、リダイレクトループが継続的に発生する場合は、インスタンスのホスト名に次のテキストを追加して、自動リダイレクトを一時的に無効にできます。

/#/login?autoExternalLogin=false

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。