|
|
|
|
|
このトピックでは、一般的なシングルサインオンの失敗に対するトラブルシューティングプロセスについて説明します。
MOVEit Transfer のユーザープロファイルで [SSL Client Cert Require (SSL クライアント証明書が必要)] が [Yes (はい)] に設定されていると、ユーザーが認証されません。このオプションは [No (いいえ)] に設定する必要があります (このタイプのサインオン失敗は監査ログに記録されません)。クライアント証明書を使用する場合は、ID プロバイダを使用して証明書を処理する必要があります。
シングルサインオン認証に失敗すると、MOVEit Transfer の [Sign On (サインオン)] ページに次の通知が表示される場合があります。
Unable to authenticate with Identity Provider or not allowed to sign on from this location. (ID プロバイダを使用して認証できないか、この場所からサインオンすることができません。)
問題を評価して修正するには、以下のプロセスを使用してください。
MOVEit 設定については、「ユーザー認証 - シングルサインオン」ページを参照してください。ID プロバイダに固有の設定については、ご使用の ID プロバイダのドキュメントを参照してください。
すべて正しく設定されていることを確認したら、作業を続けます。
ログ設定を確認します。
ログには以下のようなエラーが記録される場合があります。
ID プロバイダからの認証応答エラー
次のエラーは ID プロバイダの問題を示しています。
BindingHandler.AuthenticateSAMLResponse:Authentication not successful:Code:urn:oasis:names:tc:SAML:2.0:status:ResponderSILUser.ExecuteAuthenticators:User '' failed to authenticate with authenticator:SAML Assertion Authenticator
また、一部の ID プロバイダでは、Windows イベントログまたは独自のログでエラーが報告されます。MOVEit ログでこのエラーを見つけた場合は、ID プロバイダのマシンに戻り、Windows イベントログのエントリがないかどうか、または ID プロバイダが認証の実行に失敗した理由を示すログがないかどうかを確認してください。
MOVEit シングルサインオン設定のエラー: 認証要求
次のエラーは MOVEit Transfer サーバーの問題を示しています。
Authentication not successful:Code:urn:oasis:names:tc:SAML:2.0:status:Requester
設定を確認するには、「ユーザー認証 - シングルサインオン」を参照してください。MOVEit カスタマーポータルにも役立つ情報があります。
MOVEit シングルサインオン設定のエラー: スキュー許容
次のエラーは、"スキュー許容" 設定の問題を示しています。
SAMLAuthenticator.AllowedByConditions:Current time (2013-12-18T20:23:01.3936301Z) is outsideof assertion valid time range (2013-12-18T20:23:01.756Z to 2013-12-18T21:23:01.756Z) with skewallowance 00:00:00 SILUser.ExecuteAuthenticators:User 'user1' failed to authenticate withauthenticator:SAML Assertion Authenticator
MOVEit ID プロバイダのスキュー許容設定を確認し、エラーが発生しないようにこの値を調整してください。