Workivaは、サインインまたは設定手順が失敗した場合に、SAML関連の短いメッセージを記録できます。以下の表に示すメッセージ文言を使用して、組織のSAMLアクティビティログまたはサポートチケットを検索してください。メッセージには、SAML構成名、ユーザー名、または{name}などのプレースホルダーで表されるその他の値が含まれる場合があります。
エラーを解決するには、ITチームまたはWorkivaサポートと協力しながら、メッセージの一般的な原因を参照してください。
注: メッセージに「SAML Consumer」または「Saml Logout」が含まれている場合、そのテキストは SAML 処理ステップからのものです。根本的な問題は通常、 証明書、 レスポンス シェイプ、または Workiva の設定にあります。
ユーザー、アカウント、およびマッピング
| メッセージ | それはどういう意味か | 一般的な原因 |
| ユーザー{user}(SAML ID {samlId})のSAML認証に失敗しました。ユーザーは一時停止されています。 | IDプロバイダーはユーザーを認証しましたが、Workivaアカウントは停止されています。 |
管理者がユーザーを停止しました。コンプライアンス違反のため保留中です。
|
| SAML認証は、アサーション検証エラー({detail})により失敗しました。 | アサーションの検証に失敗しました。詳細にはルール名が記載されている場合があります(ルールによって異なります)。 | 対象者/受信者の不一致、条件違反、カスタムバリデーターの失敗。 |
| ユーザー{user}(SAML ID {samlId})のSAML認証に失敗しました。ユーザーのIPアドレスは許可リストに登録されていません。 | IPアドレスの許可リストにより、このサインインはブロックされました。 |
VPNはオフ。オフィスIPアドレスは変更。許可リストは更新されていません。
|
| 認証されていないユーザー{username}は、そのプライマリアカウント/組織以外ではSAML ID{samlId}にマッピングできません。 | ユーザーは他の場所に存在しますが、この状況ではSAMLを介してこの組織に紐付けることはできません。 |
組織のURLが間違っています。ユーザーの所属組織が異なります。組織をまたいだログインが試行されました。
(サポートにお問い合わせください 解決のお手伝いをいたします) |
| ユーザー{displayName}のSAML関連付けに失敗しました。 | WorkivaユーザーとSAML IDの関連付けが検証に失敗しました。 | SAML IDの重複、無効な文字、マッピングに関するビジネスルール。 |
| 関連付けられていないSAML ID {samlId}からのログイン試行。対応するWdeskユーザーに対して、このSAML IDを設定することを検討してください。 | 組織にはSSOが必要ですが、このNameIDはユーザーにマッピングされていません。 |
新規採用者のプロビジョニングが完了していません。SAML ID の入力ミスがあります。この組織の IdP ディレクトリが間違っています。
(このエラーの解決方法については、下記のセクション を参照してください) |
| SAML ID {samlId} の新しい SAML ユーザー - SAML 初期化を完了するためにログインページにリダイレクトします | 初回SAMLユーザーフロー:ユーザーはIdPへのサインイン後、セットアップを完了する必要があります。 | SSOが不要な場合の初回SAMLログイン時に想定される動作。ユーザーがマッピングを完了していることを示します。 |
SSOログインの失敗を解決する
ユーザーがSSOでログインできない場合、ユーザーマッピングが正しくないことが原因である可能性があります。これを修正するには:
- SSO認証が失敗した日時を取得してみてください。
- アクティビティログで、表をスクロールして、SSO失敗の試行日時に対応するログを探してください。
- 「関連付けられていないSAML ID {samlId}からのログイン試行」というメッセージを探してください。該当するWdeskユーザーに対して、このSAML IDを設定することを検討してください。(「{samlId}」は、ユーザー固有のSAML IDのプレースホルダーです。)
- {samlId} の値を取得し、SSO 設定の User mapping セクションに移動します。
- 表の ユーザー名 列で、ご自身のユーザー名を検索してください。
- 表の中で、ユーザーの横にあるSSO IDフィールドをダブルクリックし、アクティビティログから取得した{samlId}の値を入力します。
- 設定を保存をクリックします。
- ユーザーにSSO(シングルサインオン)で再度ログインを試してもらうよう依頼してください。
サインインとSAML応答処理
| メッセージ | それはどういう意味か | 一般的な原因 |
| 認証リクエストの逆シリアル化に失敗しました。 | ブラウザまたはIDプロバイダーが、サービスが有効なSAMLリクエストとして読み取れないデータを送信しました。 | リクエストが切り詰められているか破損している。プロキシがPOSTボディを削除している。ログインURLへのPOSTリクエストが非常に古いか、SAMLに対応していない。 |
| 無効なXMLオブジェクトを受信しました。応答データが不正な形式であるか、不完全です。 | SAMLレスポンスXMLを解析できなかったか、途中で途切れてしまいました。 | IdPの設定ミス、ロードバランサーまたはプロキシによる応答の変更、ネットワークの中断、テストにおけるXMLの貼り付け/編集。 |
| SAMLアサーションが無効です。 | ユーザーマッピングの前に、アサーションが構造チェックまたはポリシーチェックに失敗しました。 | 時計のずれ、対象者間違い、アサーションの有効期限切れ、アサーション内容の形式不良。 |
| (テキストは様々です。多くの場合、invalid_response / invalid_destination からの技術的な詳細が含まれます。) | SAMLレスポンスの内容がWorkivaの想定する形式(宛先、構造など)と一致しませんでした。 | ACS URLの不一致、エンティティIDの誤り、誤った環境へのレスポンスの送信、使用可能なアサーションのないエラーステータスをIdPが送信しています。 |
| 応答またはアサーションの署名が無効です… Wdesk で設定されている X.509 証明書が、IdP の証明書と一致しています | 暗号署名の検証に失敗しました。 |
IdPが署名証明書を更新したが、Workivaには古い証明書が残っている。Workivaに間違った証明書が貼り付けられている。間違った要素に署名している。複数の証明書があり、IdPが期待どおりの証明書を使用していない。
|
| SAML名識別子が欠落しているか空です | NameID(またはそれに相当する件名)が欠落しているか、空白でした。 | IdPがNameIDをリリースしていません。マッピングが空の値を送信しています。IdPで誤ったNameID形式が選択されています。 |
| アサーションまたは名前IDの復号化に失敗しました。 | 暗号化されたSAMLコンテンツは、お客様のSP設定では復号化できませんでした。 | 暗号化証明書の不一致。IdPがWorkivaが所有していない証明書で暗号化を行っている。暗号文が破損している。 |
| アサーションの発行者が、Wdeskで設定されている発行者と一致しません。 | SAMLメッセージ内の発行者が、お客様のSAML設定と一致しません。 |
発行者URLにタイプミスあり。エイリアス発行者を使用しているIdP。ステージング環境と本番環境のIdPの違い。
(SSO設定の修正に役立つリクエストの詳細については、このログを確認してください。) |
| リクエストに対応するSAML設定が見つかりませんでした。 | このリクエストに一致するSAML設定が見つかりませんでした(登録情報が見つかりませんでした)。 | URLパスまたはSAML設定IDが間違っています。設定が無効または削除されています。古いURLをブックマークしています。 |
| SAMLコンシューマーでエラーが発生しました…(汎用) | サインインが失敗した原因は、上記の特定のSAMLコードにマッピングされていません。 | 異常なIdP動作。一時的な統合バグ。次のステップとして、HARまたはIdPのサインオンログとこのメッセージを確認することをお勧めします。 |
| Saml Logoutでエラーが発生しました…(汎用) | ログアウト要求が、特定のコードにマッピングされない方法で失敗しました。 | 消費者と同じ考え方:IdPのログアウトログと相関時間を収集する。 |
証明書(署名/検証)
| メッセージ | それはどういう意味か | 一般的な原因 |
| X509証明書の形式が正しくないか、有効期限が切れています。設定されている場合、代替のX509証明書が使用されます。 | WorkivaのプライマリIdP署名証明書が無効または期限切れです。システムは代替証明書にフォールバックする可能性があります。 | 証明書の有効期限切れ、PEM形式のエラー、余分なスペースまたはヘッダーの欠落。 |
| 代替X509証明書の形式が正しくないか、有効期限が切れています。 | 代替証明書も無効か期限切れです。 | 両方の証明書を更新する必要があります。2つ目の証明書はコピー&ペーストのエラーです。 |
| SAML設定にX509証明書が設定されていません。 | プライマリ署名証明書も代替署名証明書も保存されません。 | 新しい設定。証明書はクリアされました。メタデータのインポートで証明書は入力されませんでした。 |
応答形式、主張、および「ラップされた」応答
| メッセージ | それはどういう意味か | 一般的な原因 |
| 潜在的なXSWが検出されました:応答要素が見つかりません | SAMLペイロードには、通常の<Response>期待どおりroot権限を取得しました。 | XMLの形式が不正です。IdPのパッケージングが通常とは異なります。改ざんの試みがありました。ミドルウェアが破損しています。 |
| 潜在的なXSWが検出されました:複数の応答要素が見つかりました | ペイロード内に複数のSAMLレスポンスが含まれています。 | まれなIdPバグ。レスポンスが連結され、プロキシがボディを正しくマージしない。 |
| Assertion要素が見つかりませんでした... IDプロバイダーからのSAMLレスポンスでStatusCode認証失敗を確認してください | ユーザーをログインさせるためのアサーションは行われなかった。多くの場合、IdP側で拒否された。 | パスワードが間違っています。MFA認証に失敗しました。IDプロバイダーのポリシーによりユーザーが拒否されました。ユーザーがIDプロバイダー側でライセンスを取得していません。 |
| 潜在的な XSW が検出されました: 複数の Assertion 要素と EncryptedAssertion 要素が検出されました | 平文と暗号化されたアサーションの両方が存在します(許可されていません)。 | 通常とは異なるIDプロバイダー構成。カスタマイズにより重複コンテンツが送信されています。 |
| 潜在的な XSW が検出されました: 複数のアサーションが検出されました - Wdesk では 1 つだけが許可されています | 1つの回答に複数の主張が含まれている。 | グループ化されたアサーションを送信するIdP。フェデレーションアグリゲーター。 |
| 潜在的なXSWが検出されました:複数の暗号化されたアサーションが検出されました - Wdeskでは1つしか許可されていません | 暗号化されたアサーションが複数存在します。 | 複数の主張と同じ種類の原因。 |
*「XSW」とは、セキュリティ上の理由からサービスがブロックする疑わしいレスポンスラッピングパターンを指します。
Workivaの設定とURL
| メッセージ | それはどういう意味か | 一般的な原因 |
| ID {id} の SAML 設定が見つかりません / {id} の SAML 設定が見つかりません | その識別子に対応するSAMLレコードは存在しません。 | URL内の{id}が間違っています。設定が削除されています。リンクまたは統合にタイプミスがあります。 |
| SAML設定{name}は現在有効になっていないため、認証に使用できません。 | SAMLは存在するが、その組織では無効になっている。 | 管理者がSAMLを無効化しました。変更は凍結されています。別のIDプロバイダーをテスト中です。 |
| SAML設定{name}は最小限の設定がなされていないため、認証に使用できません。 | 必須項目(例えば、IdP URL、バインディング、証明書など)が未入力です。 | セットアップが完了していません。メタデータのインポートが完了していません。設定が下書き状態です。 |
| このSAML構成{id}に関連付けられた組織が見つかりません | SAML設定と組織間の内部リンクが欠落しています。 | データに不整合があります。通常、サポート担当者が調査する必要があります。 |
| 指定されたIDに一致するSAML構成には、ログアウト応答URLがありません。 | アプリが想定している場所にログアウトURLが設定されていません。 | SAML設定でログアウトが設定されていません。メタデータにシングルログアウトURLがありません。 |
主題/名前IDおよび属性
| メッセージ | それはどういう意味か | 一般的な原因 |
| 属性 Name={name} 要素内に SAML サブジェクトが見つかりません... | Workivaは特定の属性からSAML IDを読み取るように設定されていますが、その属性またはステートメントが欠落しています。 | 属性が送信されていません。属性名が間違っています。アサーション内の属性ですが、名前空間/形式が間違っています。 |
ログアウト
| メッセージ | それはどういう意味か | 一般的な原因 |
| SAMLRequest パラメータが不足しています | IdPまたはブラウザが、SAMLログアウト要求なしにログアウトエンドポイントにアクセスした。 | IdPログアウトURLの設定ミス、手動でのURLアクセス、またはディープリンクの破損。 |
| 指定されたIDに一致するSAML構成が見つかりません | ログアウト時に、不明なSAML設定が参照されました。 | パスまたはパラメータに誤っ た samlConfigがあります。 |
SAMLユーザー設定の完了(初回IdPサインイン後)
| メッセージ | それはどういう意味か | 一般的な原因 |
| SAMLユーザーの初期化に失敗しました - セキュリティトークンの検証エラー | ワンタイムセットアップトークンが欠落しているか、間違っているか、有効期限が切れています。 | 古いリンクをブックマークしました。完了するのに時間がかかりすぎました。Cookieがブロックされました。別のブラウザでリンクを開きました。 |
| SAML初期化ハンドラーでエラーが発生しました...(汎用) | 予期せぬ理由により、セットアップに失敗しました。 | 再試行してください。繰り返し試行する場合は、サポートのために時間とURLを記録してください。 |
| (各種検証メッセージ) | SAMLユーザーレコードの作成に失敗した際に表示されます(正確なテキストは検証内容によって異なります)。 | 例:SAML ID は組織内の別のユーザーによって既に使用されています。 |
管理者:SAMLメタデータのインポート(API/管理フロー)
| メッセージ | それはどういう意味か | 一般的な原因 |
| メタデータXMLを解析できません | ファイルは有効なXMLではありません。 | 間違ったファイルがダウンロードされました。HTMLエラーページが.xmlファイルとして保存されました。 |
| メタデータ XML に IDPSSODescriptor が見つかりません | IdPメタデータではありません(またはプロファイルが間違っています)。 | SPメタデータが誤ってアップロードされました。ファイルをトリミングしました。 |
| 署名用のX.509証明書が見つかりません | メタデータ内に署名証明書が想定される場所に存在しません。 | メタデータなし<KeyDescriptor use="signing">暗号化されたメタデータのみ。 |
| メタデータXMLにSingleSignOnServiceが見つかりません | SSOエンドポイントは宣言されていません。 | IdPからのエクスポートが完了していません。 |
| サポートされている SingleSignOnService バインディングが見つかりませんでした。 | SSO URLは存在しますが、Workivaがインポートでサポートしているバインディングではありません。 | 特殊な綴じ方のみ。古いIdPテンプレートを使用。 |
| 警告:メタデータファイルに{n}個の署名証明書が含まれています... | 複数の署名証明書が検出されました。正しい証明書を手動で選択する必要がある場合があります。 | 複数の有効な認証局が存在するIdPローテーション期間。 |
管理者:SAML IDファイルの一括インポート
| メッセージ | それはどういう意味か | 一般的な原因 |
| SAML ID または Wdesk ユーザー名が欠落しているため、行 {n} をスキップします。 | その行の空欄。 | Excelで編集したCSVファイル。末尾に空行があります。 |
| CSVファイルにユーザー名が重複しているため、行{n}をスキップします。 | 同じWorkivaユーザー名が2回表示されています。 | スプレッドシートのコピー&ペーストエラー。 |
| ユーザー名 {name} が見つからないか、このアカウントのメンバーではありません | その行に一致するユーザーが組織内に存在しません。 | ユーザー名にタイプミスがあります。ユーザーは別の組織に所属しています。 |
| ユーザー{name}の主要組織が一致しないため、ユーザー{name}をスキップします。 | ユーザーの所属組織はこのレルムではありません。 | インポート対象として誤ったドメインが選択されました。請負業者アカウントです。 |
セキュリティとアカウント管理
| メッセージ | それはどういう意味か | 一般的な原因 |
| アカウントのセキュリティ検証ルールにより、SAMLリクエストがブロックされました。 | ログアウトまたはSAMLリクエストが、その組織/構成の内部セキュリティチェックに失敗しました。 | ポリシーエンジンがブロックされました。不審なパターンが見られます。サポート担当者は内部ログを必要とする場合があります。 |
技術診断(サポート向け)
| メッセージ | それはどういう意味か | 一般的な原因 |
| SAMLResponse: エンコードされたデータが続きます | SAML認証が失敗した場合、サポート担当者とのトラブルシューティングのために、生のSAMLレスポンスがログに記録されます。 | 特定のエラー発生時に自動的に記録されるものであり、それ自体が「エラーメッセージ」ではありません。 |