SAML認証のトラブルシューティング

SAML認証に関するトラブルの解決方法を説明します。

SAML認証の設定ミスでログインできなくなった場合

SAML認証に失敗すると、ユーザーはKintoneにログインできません。
ただし、Kintone共通管理者だけは、下記URLからKintone標準の認証を利用して、Kintoneにログインできます。

  1. SAML認証を無効にするURLにアクセスします。
    https://(サブドメイン名).kintone.com/login?saml=off
    管理者以外のユーザーにも、このURLの利用を許可する場合は、ログイン時にSAML認証だけを使う制限を無効にする必要があります。
    詳細は、ログイン時にSAML認証だけを使うように制限するを参照してください。

  2. Kintone共通管理に登録しているログイン名とパスワードを入力し、Kintoneにログインします。

SAML認証に関するエラー

エラーコード エラーメッセージ 原因 対処
SLASH_SA01 SAMLResponse内のNameIDと一致するログイン名を持つユーザーが見つかりません。 SAMLResponse内のNameIDと一致するログイン名を持つユーザーが、Kintoneに存在しません。
  • IdPの設定を変更し、ユーザーを識別する要素にNameIDを指定してください。
  • NameIDに関連付けた値と、Kintoneのユーザーのログイン名を一致させてください。
SLASH_SA02 SAMLResponseに対応するAuthnRequestがありません。 次のような場合に発生します。
  • 1つのセッションで複数のSAMLリクエストを発行した。
    例:
    • 同じWebブラウザーの複数のタブで、SSOを行おうとした。
    • SSO後に、Webブラウザーの戻るボタンをクリックし、KintoneのエンドポイントURLを表示しようとした。
  • IdP InitiatedなSSOを行おうとした。
  • 1つのセッションで、複数のSAMLリクエストを発行する操作をしないでください。
  • IdPの設定を変更し、SP InitiatedなSSOを行ってください。
SLASH_SA03 リクエストパラメータにSAMLResponseがありません。 IdPがKintoneに送信したリクエストパラメータに、SAMLResponseがありません。 SAMLResponseの送信を妨げるものがないか確認してください。
SLASH_SA04 SAMLResponseが無効です。 SAMLResponse内のResponse要素の内容が無効です。 検証結果がFailedの項目の設定を見直してください。
次の情報も参考にしてください。
SAMLResposeの検証結果を確認する
SLASH_SA05 HTTPメソッドが不正です。HTTPメソッドにPOSTを指定してください。 HTTP POST Binding以外で、SAMLレスポンスを送信しています。
  • IdPの設定を変更し、HTTP POST BindingでSAMLレスポンスを送信してください。
  • プロキシサーバーなどで、HTTPメソッドがPOST以外のものに変換されていないかどうか確認してください。
SLASH_FA01 SAMLResponseの処理に失敗しました。 予期せぬエラーが発生し、SAMLResponseを処理できません。 お手数ですがKintone Corpまでお問い合わせください。

SAMLResponseの検証結果を確認する

SAMLResponseの検証結果がFailedとなった場合、検証項目ごとに次の対処を行います。

  • 現在の時刻が、Conditions要素のNotBefore属性とNotOnOrAfter属性で指定した期間内である場合
    IdPとKintoneの日時の設定が異なる可能性があります。IdPの設定を変更し、正しい日時を設定します。
  • SubjectConfirmationData要素のInResponseTo属性がAuthnRequestのIDと一致する場合
    同じWebブラウザーの複数のタブで、SSOを行おうとした可能性があります。タブをひとつだけ開いた状態でログインした場合に、エラーが解消するかどうかを確認します。
  • Audience要素に正しい値が指定されている場合
    KintoneをSPとして登録する際に、不正なエンティティIDを指定した可能性があります。SPのエンティティIDには、「https://(サブドメイン名).kintone.com」を指定します。
  • Assertion要素またはResponse要素に署名があり、その署名が有効である場合
    公開鍵の証明書が不正な可能性があります。Kintone共通管理の「ログインのセキュリティ設定」画面で、「Identity Providerが署名に使用する公開鍵の証明書」に正しい証明書を添付します。証明書はRSAかDSAのアルゴリズムで生成した、X.509形式のものを使用します。