Resource Access Management:SSOに関するFAQ

原因

解決策

Alibaba Cloudは、RAMユーザーを識別するためにユーザープリンシパル名 (UPN) を使用します。 IDプロバイダー (IdP) によって生成されるSAMLレスポンスには、RAMユーザーのUPNが含まれている必要があります。 UPNのサフィックスには、ドメインエイリアス、補助ドメイン名、またはデフォルトドメイン名を指定できます。 IdP内のユーザーのユーザー名のサフィックスがRAMユーザーのUPNのサフィックスと異なる場合、一致は失敗します。 詳細については、「ユーザーベースの SSO 使用時の SAML アサーション」の「NameID要素およびNameIDの例」をご参照ください。

補助ドメイン名を指定して、RAMユーザーのUPNのサフィックスがIdPのユーザーのユーザー名のサフィックスと同じであることを確認します。 詳細については、「ロールベースSSO用Alibaba CloudのSAML設定の設定」をご参照ください。

RAMにRAMユーザーが作成されないか、作成されたRAMユーザーのユーザー名がIdPのユーザー名と異なります。

• RAMユーザーのユーザー名をIdPのユーザー名に変更します。

• RAMユーザーのユーザー名は最大64文字で、英数字、ハイフン (-) 、アンダースコア (_) 、およびピリオド (.) のみを使用できます。 IdPのユーザーのユーザー名も上記の要件を満たす必要があります。 IdPのユーザーのユーザー名が上記の要件を満たしていない場合は、次のいずれかの方法を使用して問題を解決します。

  • 上記の要件に基づいて、IdPのユーザーのユーザー名を変更します。

  • IdPのSSO設定でユーザーを一意に識別するフィールドを変更します。 たとえば、ユーザーを一意に識別でき、特殊文字を含まないユーザーの電子メールアドレスを使用できます。

  • IdPのSSO設定で、ユーザー名マッピングの変換ルールを設定します。

System for Cross-domain Identity Management (SCIM) を使用してユーザーの同期に失敗しました。

IdPのSCIM同期ログを照会し、問題のトラブルシューティングを行います。

IdPのユーザーのUPNは、RAMに同期されるUPNとは異なります。考えられる原因を次のリストに示します。

• SCIMを使用してRAMに同期されるユーザーのユーザー名は、UPNを使用しません。

• ユーザー名マッピングの変換ルールは、SCIM同期設定で設定されます。

IdPのSSO設定で設定されている変換ルールが、SCIM同期設定で設定されている変換ルールと同じであることを確認してください。

SAMLレスポンスのConditions要素に含まれるAudienceサブ要素が無効な値に設定されます。 具体的には、accountIdの値は無効です。

SAML応答で、Conditions要素でAudienceRestrictionサブ要素を見つけ、AudienceRestictionサブ要素にAudienceサブ要素が含まれていることを確認します。Audienceサブ要素を https://signin-intl.aliyun.com/${accountId}/saml/SSOに設定し、${accountId} の値はAlibaba CloudアカウントのIDです。

一部のIdPはAudience URLサブエレメントを使用します。 サブ要素の値が正しいことを確認してください。

原因

解決策

SAML応答のAttributeStatement要素で、Name属性が https://www.aliyun.com/SAML-Role/Attributes/Role に設定されているAttribute要素を検索します。 Attribute要素の値は、RAMロールの名前とIdPの名前の組み合わせです。 RAMロールの名前とIdPの名前がAlibaba Cloudに存在しない場合、またはRAMロールの信頼ポリシーで設定されているIdPがname属性の値のIdPと異なる場合、エラーメッセージが報告されます。 詳細については、「ロールベース SSO 使用時の SAML アサーション」をご参照ください。

• Alibaba CloudのRAMロールの名前またはIdPの名前を変更して、Alibaba CloudのRAMロールの名前またはIdPの名前がSAML応答のRAMロールの名前またはIdPの名前と同じになるようにします。 詳細については、「ロールベースSSO用のAlibaba CloudのSAML設定の設定」および「ロールベースSSO用の信頼できるSPとしてAlibaba Cloudを設定する」をご参照ください。

• RAMロールの信頼ポリシーを変更して、RAMロールの信頼ポリシーで指定されているIdP名がIdPの実際の名前と同じであることを確認します。 詳細については、「例3: RAMロールの信頼できるエンティティをIdPに変更する」をご参照ください。

原因

解決策

Name属性が https://www.aliyun.com/SAML-Role/Attributes/Role に設定されているAttribute要素は、IdPで設定されていないか、無効です。

IdPのAttribute要素の設定を変更します。 詳細については、「ロールベース SSO 使用時の SAML アサーション」をご参照ください。

原因

解決策

Name属性が https://www.aliyun.com/SAML-Role/Attributes/RoleSessionName に設定されているAttribute要素は、IdPで無効です。

IdPのAttribute要素の設定を確認して変更します。 Attribute要素が存在するかどうかを確認します。 次に、Attribute要素が正しく指定されているかどうかを確認します。 Attribute要素の値は2 ~ 64文字である必要があり、英数字、および次の特殊文字- _のみを使用できます。 @ =. 詳細については、「ロールベース SSO 使用時の SAML アサーション」をご参照ください。

現在のログオンユーザーのIdPのRoleSessionName要素に対応する属性の値を指定しません。 たとえば、Email属性はIdPのRoleSessionName要素に指定されていますが、IdPの現在のログオンユーザーのEmail属性の値は指定していません。

RoleSessionName要素に属性が指定され、IdPの現在のログオンユーザーの属性に値が指定されていることを確認します。

原因

解決策

IdPの署名に使用される公開鍵と秘密鍵のペアがローテーションされます。 ただし、Alibaba CloudのIdPのメタデータは更新されません。

Alibaba CloudでIdPのメタデータを更新します。 IdPから最新のメタデータファイルをダウンロードし、メタデータファイルをAlibaba Cloudにアップロードできます。

IdPで署名に使用される公開鍵と秘密鍵のペアがローテーションされ、Alibaba CloudのIdPのメタデータが更新されます。 ローテーション中、元の秘密鍵は引き続きIdPで使用される可能性があります。 Alibaba CloudのIdPのメタデータには、新しい公開鍵のみが含まれています。

IdPのメタデータで元の公開鍵と新しい公開鍵の両方を指定することを推奨します。

• 証明書を作成します。 元の証明書を無効化または削除しないでください。

• 新しいメタデータファイルをダウンロードし、元の公開鍵と新しい公開鍵がメタデータファイルに含まれているかどうかを確認します。

  • Azure ADなどの一部のIdPでは、元の証明書と新しい証明書が新しいメタデータファイルに含まれます。

  • 新しいメタデータファイルに元の公開鍵と新しい公開鍵が含まれていない場合は、元の証明書と新しい証明書を新しいメタデータファイルに手動で追加する必要があります。 RAMコンソールのSSO設定から元のメタデータファイルをダウンロードし、元の証明書に関する情報であるX509Certificate要素に関する情報をコピーできます。 コピーした情報を新しいメタデータファイルのKeyDescriptor要素に追加し、変更を保存します。

  • RAMコンソールのSSO設定に新しいメタデータファイルをアップロードします。

  • IdPのSSO設定で新しい証明書を有効にし、元の証明書を無効にします。

メタデータファイルのサイズが大きすぎるため、メタデータファイルのアップロードに失敗しました。

アップロードが完了するまで待ちます。 アップロードが完了したら、アップロードされたメタデータファイルをダウンロードして、メタデータファイルがアップロードされているかどうかを確認します。

原因

解決策

メタデータのパラメーターは、SAML 2.0プロトコルに基づいて構成されていません。

SAML 2.0プロトコルに基づいてパラメーターを設定します。 詳細については、「SAML 2.0」をご参照ください。