無効な要求 - 接続が無効です
理由
解決策
- [Authentication(認証)]>[Enterprise(エンタープライズ)]に移動します。
- [SAML] をクリックします。
- 確認したい接続をクリックします。
- [Applications(アプリケーション)] タブをクリックします。
- 少なくとも1つのアプリケーションを有効にします(リストが空の場合には、処理を進める前に、アプリケーションを作成する必要があります)。
IdP起点のデフォルトアプリが構成されていません
理由
解決策
- [Authentication(認証)]>[Enterprise(エンタープライズ)]に移動します。
- [SAML] をクリックします。
- 確認したい接続をクリックします。
- [IdP-Initiated SSO(IdP起点のSSO)] タブに切り替えます。
- [Accept Requests(要求を許可する)] を選択し、[Default Application(デフォルトのアプリケーション)] とそのアプリケーションが使用する [Response Protocol(応答プロトコル)] を選択してから、(任意で)アプリケーションに渡したい追加のパラメーターを指定します。
- [Save Changes(変更を保存)] をクリックします。
SP起点のログインのトラブルシューティング
SP起点のフローでこのエラーが表示される場合、次のいずれかが欠けているか、空である可能性があります。
RelayStateパラメーター- SAML応答にあるべき
InResponseTo属性
RelayStateパラメーターがありません
理由
RelayStateパラメーターを返さない場合に発生します。
解決策
RelayStateパラメーターが必ず返されるようにしてください。
オーディエンスが無効です
audience値がAuth0で予期する値と一致しない場合に発生します。この値に、Auth0は接続のエンティティIDを期待します。
解決策
- [Authentication(認証)]>[Enterprise(エンタープライズ)]に移動します。
- [SAML] をクリックします。
- 確認したい接続をクリックします。
- [Setup(セットアップ)] タブの [Common Settings(共通設定)] セクションにある2番目のパラメーターが エンティティID です。IDプロバイダーがSAML応答で正しい
audience値を送信することを確認します。
不正なプロトコルが指定されました
解決策
- [Authentication(認証)]>[Enterprise(エンタープライズ)]に移動します。
- [SAML] をクリックします。
- 確認したい接続をクリックします。
- [Settings(設定)] タブの [Response Protocol(応答プロトコル)] フィールドに設定されている値を確認します。
ユーザーがIdPからログアウトしていません
Name ID属性がマッピングされていないと、ログアウトフローが失敗します。たとえば、フェデレーションパラメーターのv2/logout?federated&...では、ユーザーはADFS SAMLログアウトエンドポイントにリダイレクトされずに、アプリケーションのコールバックURLに直接リダイレクトで戻されます。この場合、結果的に、ユーザーはIdPからログアウトされません。
解決策
Name ID属性を[SAML Relaying Party Trust(証明書利用者信頼)]のルールとして追加します。
IdP起点のSSOを使用したい場合には、[SAML Identity Provider(SAML IDプロバイダー)]に移動して、接続パラメーターを必ずポストバックURL(別称Assertion Consumer Service URL)[推奨されるCallback URL]に含めます。
/login/callbackへの要求でクエリ文字列にconnection=xxxxが含まれていません。
解決策
connection=xxxxパラメーターを含めます。