エラー - AADSTS75011サービスで認証されたユーザーが要求された認証方法 AuthnContextClassRef と一致しない認証方法
この記事では、Microsoft Entra IDと統合された SAML ベースのシングル サインオン (SSO) 構成済みアプリにサインインしようとすると、"エラー - AADSTS75011認証方法で、サービスで認証されたユーザーが要求された認証方法 AuthnContextClassRef と一致しない" というエラー メッセージが表示される問題について説明します。
注:
この記事はお役に立ちましたか? お客様の入力は、当社にとって重要です。 このページの [フィードバック ] ボタンを使用して、この記事がどれだけうまく機能したか、または改善する方法をお知らせください。
現象
SAML ベースの AADSTS75011
SSO を使用して ID 管理にMicrosoft Entra IDを使用するように設定されているアプリケーションにサインインしようとすると、エラー メッセージが表示されます。
原因
RequestedAuthnContext
は SAML 要求にあります。 これは、アプリが で指定された を AuthnContext
想定することを意味します AuthnContextClassRef
。 ただし、ユーザーはアプリケーションにアクセスする前に既に認証されており、その前の AuthnContext
認証に使用される (認証方法) は要求されている認証とは異なります。 たとえば、MyApps と WIA へのフェデレーション ユーザー アクセスが発生しました。 は AuthnContextClassRef
になります urn:federation:authentication:windows
。 新しい認証要求を実行しないMicrosoft Entra IDは、IdP (この場合は ADFS またはその他のフェデレーション サービス) によって渡された認証コンテキストを使用します。 そのため、アプリが 以外 urn:federation:authentication:windows
を要求した場合、不一致が発生します。 もう 1 つのシナリオは、MultiFactor が使用されたときです。 'X509, MultiFactor
解決方法
RequestedAuthnContext
は省略可能な値です。 可能であれば、値を削除できるかどうかをアプリケーションに問い合わせください。
もう 1 つのオプションは、値が RequestedAuthnContext
受け入れられるようにすることです。 これは、新しい認証を要求することによって行われます。 これにより、SAML 要求が処理されると、新しい認証が実行され、 AuthnContext
受け入れられます。 新しい認証を要求するには、SAML 要求に という値 forceAuthn="true"
が含まれている必要があります。
詳細
Active Directory 認証と承認エラー コードの完全な一覧については、「認証と承認のエラー コードのMicrosoft Entra」を参照してください。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。