勤怠
1602|【勤怠】シングルサインオン(SAML認証)に失敗する原因と対処方法
SAML認証によるシングルサインオンに失敗した場合の、エラー履歴と対処方法について、ご説明します。
※admin全権管理者および全権管理者、または「オプション」権限が「△閲覧のみ」以上の一般管理者だけが可能な操作です。
補足
シングルサインオン(SAML認証)の設定方法はこちらをご参照ください。
目次
エラー履歴の確認方法
ホーム画面「設定」内[その他]>[オプション]>「記録」カテゴリ >「ユーザのSAML認証エラー履歴」の[ユーザのSAML認証エラー履歴]をクリックします。
「SAML認証エラー履歴」画面が表示され、前月~今月の2カ月分の履歴が確認できます。
対処方法
各種「エラー種別」と「エラーコード」に対する原因と対処方法は、以下のとおりです。
1.エラー種別:「オフィスステーション 勤怠」での設定誤り
| エラーコード | 原因 | 主な対処方法 |
| SamlError001 | SAMLアカウント連携を使用する設定になっていません。 | 「設定」内[その他]>[オプション]>「SAMLアカウント連携」を「使用する」にしてください。 |
| SamlError002 SamlError003 SamlError004 |
SAMLアカウント連携設定が登録されていません。 | 「設定」内[その他]>[オプション]>[SAMLアカウント連携]からSAMLアカウント連携設定を登録してください。 |
| SamlError005 SamlError006 SamlError007 SamlError008 |
SAMLアカウント連携設定のIdPのmetadataに誤りがあります。 | IdPからmetadataを再取得し、「設定」内[その他]>[オプション]>[SAMLアカウント連携]のSAMLアカウント連携設定にmetadataを登録し直してください。 |
2.エラー種別:IdP設定誤り
| エラーコード | 原因 | 主な対処方法 |
| SamlError009 | IdPの設定がSAMLアカウント連携設定と一致していません。 |
|
| SamlError011 | IdPから送信されたSAML応答が不正です。 | IdPからSAML応答が送信されていない、SAML応答の形式が不正であるなどの要因が考えられます。IdPから送信されたSAML応答に問題がないかどうかは、IdP側へお問い合わせください。 |
3.エラー種別:メールアドレス設定誤り
| エラーコード | 原因 | 主な対処方法 |
| SamlError010 | IdPのNameID(メールアドレス)に一致するユーザが存在しません。 | Name ID形式をメールアドレスで設定しているかIdPの設定をご確認ください。 または、メールアドレスに一致するユーザ(管理者・従業員)を「管理者設定」または「従業員設定」から登録してください。 |
SAML認証エラー履歴画面にエラー履歴が表示されていない場合
| エラー表示 | 原因 | 主な対処方法 |
| 「SAMLによる認証に失敗しました」 | Cookieの有効期限が切れたか、サーバー側のセッションが存在していない可能性があります。 | ログイン画面の「外部IDでログイン画面へ」から再度ログインしてください。 |
| IdPからSAML認証フローを開始している(IdP-Initiated SSO)可能性があります。 | 「オフィスステーション 勤怠」からSAML認証フローを開始するSP-Initiated SSOにのみ対応しております。ログイン画面の「外部IDでログイン画面へ」からログインしてください。 | |
| IdPから送信されたSAML応答が不正である可能性があります。 | 「オフィスステーション 勤怠」で動作確認をおこなっていないIdPの場合はSAML認証に失敗する可能性があります。 「SAML2.0」認証に対応している以下の外部IdPを除き、すべての外部IdPの動作確認は行っておりませんので、ご了承ください。 動作確認済みのサービス
|
|
| 「404 Not Found」 | IdPの設定のシングルサインオンURLがSAMLアカウント連携設定と一致していません。 | IdPの設定のシングルサインオンURL(ACSエンドポイント)が、「設定」内[その他]>[オプション]>「SAMLアカウント連携」の[SAMLアカウント連携設定]の「ACS URL」と一致しているかご確認ください。 |