シングルサインオンエラー発生時の対処方法
シングルサインオンエラー発生時には以下の方法でエラーの原因を特定します。
・SAML ログイン履歴のレビュー
・「件名を Salesforce.com ユーザにマッピングすることはできません」エラーが発生
SAML ログイン履歴のレビュー
別にログイン履歴画面でエラーメッセージが表示されるかを確認します。
表示される場合の解決方法、また表示されない場合に考えられる原因もご紹介しますので、ぜひ参考にしてみてください。
表示される場合
表示される場合はログインの失敗が SAMLアサーションに関連しているかSalesforce設定に関連しているかを確認します。
SAMLアサーションに関連している場合はSAMLアサーション検証を使用して具体的なシングルサインオンエラーを見つけます。
Salesforce設定に関連している場合はSSO設定で設定を確認します。
表示されない場合
表示されない場合は以下の原因が考えられます。
SAMLアサーション検証エラーが表示され、ログイン履歴が表示されない場合、Salesforce上にIdプロバイダ側から送信されたユーザ情報が存在していない可能性があります。
SAML内に記載されているユーザ名、ユーザIDまたは統合IDがSalesforce上に存在するかを確認してください。
SAMLアサーション検証エラーとログイン履歴のどちらも表示されない場合、Idプロバイダから送られる SAMLアサーションが対象組織に届いていない可能性があります。
Idプロバイダ側でSalesforce のエンドポイントURLが正しく設定されているかを確認してください。SalesforceのエンドポイントURLは、シングルサインオン設定画面の [ログイン URL] 項目に表示されています。
「件名を Salesforce.com ユーザにマッピングすることはできません」エラーが発生
「件名を Salesforce.com ユーザにマッピングすることはできません」エラーが発生するのは、ユーザのマッピングが一致していない事を示してます。
IdプロバイダとSalesforceのユーザの対応付けを確認してください。
ログイン履歴
シングルサインオンエラーがSAMLアサーションに関連しているかSalesforce設定に関連しているかを確認します。
それぞれのケースごとに確認する方法を紹介しますので、参考にしてください。
シングルサインオンエラーがSAMLアサーションに関連
ログイン履歴に次のいずれかのエラーがある場合は、SAMLアサーション検証を使用してアサーション内の具体的なエラーを見つけます。
エラーの種類と説明などの詳細は、下記のテーブルを参考にしてください。
| エラーメッセージ |
説明 |
| アサーションが期限切れです |
アサーションのタイムスタンプが古すぎます。 |
| サーションが無効です |
アサーションに問題があります ( 要素がないなど)。 |
| 利用者が無効です |
[Audience] で指定された値が SSO 設定中に指定した [エンティティ ID] と一致しません。 |
シングルサインオンエラーがSalesforce設定に関連
ログイン履歴に次のいずれかのシングルサインオンエラーがある場合は、SSO設定で設定を確認します。
エラーの種類と説明などの詳細は、下記のテーブルを参考にしてください。
| エラーメッセージ |
説明 |
| 設定エラー/無効な権限 |
SalesforceのSAML設定に問題があります。 |
| 発行者が一致しません |
発行者がアサーション内の発行者と不一致です。 |
| 受信者が一致しません |
受信者がアサーション内の受信者と不一致です。 |
| 再実行が検出されました |
重複するアサーションIDを検出しました。 |
| 署名が無効です |
証明書がアサーション内の署名を検証できませんでした。 |
| 件名確認エラー |
がアサーション内のと不一致です。 |
SAMLアサーション検証
SAMLアサーション検証を実行すると、Salesforceの有効性要件に対してアサーションをチェックします。
チェックする項目と説明などの詳細は、下記のテーブルを参考にしてください。
| アサーションの有効性 |
説明 |
| 状況 |
SAML レスポンスの状況項目に成功と示されている必要があります。 |
| 認証ステートメント |
アサーションには を含める必要があります。 |
| 条件ステートメント |
アサーションが有効である期間を制約します。 |
| タイムスタンプ |
アサーションを送信した日時を示すタイムスタンプを制約します。 |
| 属性 |
アサーションに が含まれている必要があります。 |
| 形式 |
ステートメントの Format 属性を制約します。 |
| 発行者 |
アサーションで指定された発行者は、設定の発行者と一致する必要があります。 |
| 件名 |
アサーションの件名は、Salesforce ユーザ名またはユーザの統合IDのいずれかにする必要があります。 |
| 利用者 |
アサーションには、 値が含まれる必要があります。 |
| 受信者 |
アサーションには、受信者が含まれる必要があります。 |
| 署名 |
アサーションには、署名が含まれている必要があります。 |
| サイトURL属性 |
アサーションには、サイトURL属性が含まれている必要があります。 |
| ポータルおよび組織ID |
省略可能。アサーション内の受信者および組織IDが設定と一致する必要があります。 |
| セッションセキュリティレベル |
省略可能。セッションセキュリティレベルは、ユーザセッションの安全性を表します。アサーション内のセッションセキュリティレベルが設定と一致する必要があります。 |
「件名をSalesforce.comユーザにマッピングすることはできません」エラーが発生する
ユーザ情報のマッピングが一致していないのが原因です。
IdプロバイダとSalesforceのユーザ情報のマッピングは、ユーザのSalesforceユーザ名、ユーザオブジェクトの統合ID、またはユーザオブジェクトのユーザIDで行われます。
ユーザ情報のマッピングは、シングルサインオン設定の [SAML ID 種別] に指定された項目がIdプロバイダ側に設定された値と一致するかで判定されます。
このエラーを解消するため、IdプロバイダとSalesforceのユーザの対応付けを確認しましょう。
Salesforceシングルサインオンエラー対策はこれでバッチリ
Salesforceシングルサインオンエラーが発生しても怖くありません。
エラー発生原因を特定し、特定したらエラー原因を取り除くだけです。これであなたもシングルサインオンのスペシャリストになれます。]]>
この記事の監修者・著者
-
株式会社オープンアップITエンジニア
-
未経験からITエンジニアへのキャリアチェンジを支援するサイト「キャリアチェンジアカデミー」を運営。これまで4500人以上のITエンジニアを未経験から育成・排出してきました。
・AWS、salesforce、LPICの合計認定資格取得件数:2100以上(2023年6月時点)
・AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
