アプリケーションに対する SAML に基づいたシングル サインオンをデバッグする

  • [アーティクル]

この記事では、SAML ベースのシングル サインオンを使用する Microsoft Entra ID のアプリケーションについて、シングル サインオンの問題を見つけて修正する方法を説明します。

開始する前に

マイ アプリによるセキュリティで保護されたサインイン拡張機能をインストールすることをお勧めします。 このブラウザー拡張機能により、シングル サインオンに関する問題の解決に必要な SAML 要求および SAML 応答の情報を収集しやすくなります。 拡張機能をインストールできない場合でも、この記事では、拡張機能がインストールされている場合とされていない場合の両方について、問題を解決する方法を示します。

マイ アプリによるセキュリティで保護されたサインイン拡張機能ををダウンロードしてインストールするには、次のいずれかのリンクを使用します。

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

SAML に基づいたシングル サインオンをテストする

Microsoft Entra ID と対象アプリケーションの間の、SAML に基づいたシングル サインオンをテストするには:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。

  3. エンタープライズ アプリケーションのリストから、シングル サインオンをテストするアプリケーションを選択し、左側のオプションの [シングル サインオン] を選択します。

  4. [シングル サインオン方式の選択] ペインで、 [SAML] を選択します。

  5. SAML ベースのシングル サインオン テスト エクスペリエンスを開くには、 [シングル サインオンのテスト] (手順 5) に進みます。 [テスト] ボタンが淡色表示される場合は、まず、 [基本的な SAML 構成] セクションで必須の属性を入力して保存する必要があります。

  6. [シングル サインオンのテスト] ぺージで、会社の資格情報を使用して対象のアプリケーションにサインインします。 現在のユーザーまたは別のユーザーとしてサインインできます。 別のユーザーとしてサインインすると、認証するよう求めるプロンプトが表示されます。

    SAML SSO ページのテストを示すスクリーンショット

サインインできる場合、テストは成功です。 この場合、Microsoft Entra ID がアプリケーションに、SAML 応答トークンを発行しました。 アプリケーションはこの SAML トークンを使用して、正常にユーザーをサインインさせました。

会社のサインイン ページまたはアプリケーションのページでエラーが発生する場合は、以降のセクションのいずれかに従ってエラーを解決します。

会社のサインイン ページでのサインイン エラーを解決する

サインインしようとすると、会社のサインイン ページに次の例のようなエラーが表示されることがあります。

会社のサインイン ページのエラーを示す例

このエラーをデバッグするには、エラー メッセージと SAML 要求が必要です。 マイ アプリによるセキュリティで保護されたサインイン拡張機能は、この情報を自動的に収集し、Microsoft Entra ID に解決ガイダンスを表示します。

インストールしたマイ アプリによるセキュリティで保護されたサインイン拡張機能を使用してサインインのエラーを解決するには

  1. エラーが発生すると、拡張機能によって、Microsoft Entra ID の [シングル サインオンのテスト] ページにリダイレクトして戻されます。
  2. [シングル サインオンのテスト] ページで、[SAML 要求をダウンロードします] を選択します。
  3. エラーと SAML 要求内の値に基づいて、具体的な解決ガイダンスが表示されます。
  4. Microsoft Entra ID の構成を自動的に更新して問題を解決する [修正する] ボタンが表示されます。 このボタンが表示されない場合、サインインの問題は Microsoft Entra ID の不適切な構成が原因ではありません。

サインイン エラーの解決策が表示されない場合は、フィードバック ボックスを使用して Microsoft に問い合わせることをお勧めします。

MyApps Secure Sign-in 拡張機能をインストールせずにエラーを解決するには

  1. ページの右下隅のエラー メッセージをコピーします。 エラー メッセージには以下が含まれています。
    • CorrelationID とタイムスタンプ。 これらの値は、Microsoft のエンジニアが問題を識別して、実際の問題に対する正確な解決策を提供する助けとなるため、Microsoft とのサポート ケースを作成するときに重要です。
    • 問題の根本原因を明らかにしている文章。
  2. Microsoft Entra ID に戻り、[シングル サインオンのテスト] ページを見つけます。
  3. [Get resolution guidance] (解決ガイダンスの取得) の上にあるテキスト ボックスに、エラー メッセージを貼り付けます。
  4. [解決ガイダンスを入手する] をクリックし、問題を解決するための手順を表示します。 ガイダンスには、SAML 要求または SAML 応答からの情報が必要な場合があります。 マイ アプリによるセキュリティで保護されたサインイン拡張機能を使用していない場合は、SAML の要求や応答を取得するために Fiddler などのツールが必要なことがあります。
  5. SAML 要求に含まれる送信先が、Microsoft Entra ID から取得した SAML シングル サインオン サービス URL に対応していることを確認します。
  6. SAML 要求に含まれる発行者が、Microsoft Entra ID のアプリケーションのために構成した識別子と同じであることを確認します。 Microsoft Entra ID は、発行者を使用してディレクトリ内のアプリケーションを検索します。
  7. AssertionConsumerServiceURL は、アプリケーションが Microsoft Entra ID から SAML トークンを受け取ることになっている場所であることを確認します。 この値は Microsoft Entra ID 内で構成できますが、SAML 要求の一部としては必須の値ではありません。

アプリケーションのページでサインイン エラーを解決する

正常にサインインしてから、アプリケーションのページにエラーが表示される場合があります。 このエラーは、Microsoft Entra ID からアプリケーションにトークンが発行されたが、アプリケーションが応答を受け付けないときに発生します。

このエラーを解決するには、次の手順に従うか、こちらの Microsoft Entra ID を使用して SAML SSO のトラブルシューティングを行う方法についての短いビデオをご覧ください:

  1. アプリケーションが Microsoft Entra ギャラリーにある場合は、アプリケーションと Microsoft Entra ID を統合するためのすべての手順に従っていることを確認します。 アプリケーションの統合手順については、SaaS アプリケーションの統合に関するチュートリアルの一覧を参照してください。

  2. SAML 応答を取得します。

    • マイ アプリによるセキュリティで保護されたサインイン拡張機能がインストールされている場合、[シングル サインオンのテスト] ページで、[SAML 応答をダウンロードします] を選びます。
    • この拡張機能がインストールされていない場合は、Fiddler などのツールを使用して SAML 応答を取得します。

  3. SAML 応答トークン内の以下の要素に注目します。

    • ユーザーの一意の識別子である NameID の値形式

    • そのトークンで発行された要求

    • トークンの署名に使用された証明書。

      SAML 応答の詳細については、「シングル サインオンの SAML プロトコル」を参照してください。

  4. SAML 応答の内容を確認したので、問題の解決方法のガイダンスについて、「サインイン後、アプリケーションのページでエラーが発生する」を参照してください。

  5. まだ正常にサインインできない場合は、SAML 応答には何が不足しているか、アプリケーション ベンダーに問い合わせることができます。

次のステップ

アプリケーションに対してシングル サインオンが動作するようになったので、SaaS アプリケーションに対するユーザーのプロビジョニングとプロビジョニング解除を自動化するか、条件付きアクセスを使ってみることができます。