複数プロバイダーのシングルサインオン構成を検証するためのエラーIssue SAML を使用した認証を実施すると、インスタンスのシステムログ (syslog) と localhost にエラーが出現します。 インスタンスで複数プロバイダーのシングルサインオン (SSO) を有効にしている場合、次のようなエラーが最も一般的です。 インスタンスの localhost またはシステムログ (syslog) のエラー# アサーション対象者が一致しません。想定:<value on instance>、実際:<value returned by IdP> アサーションの有効期限が切れました。現在:<now>、notOnOrAfter:<notOnOrAfter> アサーションは以降のタイミングで有効になります。現在:<now>、notBefore:<notBefore> アサーションの発行者が無効です。想定:<value on instance>、実際:<value returned by IdP> DB:SAML 2.0 SP キーストアからの証明書に添付ファイルがありません。 AudienceRestriction の検証に失敗しました。一致する対象者が見つかりません。 証明書が一致しません。想定:<certStr>、実際:<inboundCert> ServiceNow インスタンスに保存されているデジタル署名が見つかりませんでした。 証明書の有効性の確認に失敗しました。 署名プロファイルの検証に失敗しました。 Index: 0 SAMLResponse を検証できませんでした SAMLResponse の XML ペイロードに <xenc:CipherData>...</xenc:CipherData> が含まれているかもしれません。 SubjectConfirmationData の InResponseTo 属性が一致しません。想定:<inResponseTo>、実際:<inResponseTo>。 InvocationTargetException: javax.security.cert.CertificateException: Could not parse certificate: java.io.EOFException: Detect premature EOF. InvocationTargetException: javax.security.cert.CertificateException: Could not parse certificate: java.io.IOException: DerInputStream.getLength(): lengthTag=127, too big. 有効な SubjectConfirmation が見つかりません。 NotAfter: <Thu Jun 05 22:57:44 PDT 2014> org.xml.sax.SAXParseException:prolog でコンテンツが許可されていません SAML2ValidationError:署名が認証情報のキーに対して検証されませんでした。 SessionIndex 値が見つかりません:<メッセージ>... 件名の有効期限が切れました。現在:<now>、NotOnOrAfter:<notOnOrAfter> 件名は将来有効になります。現在:<now>、NotBefore:<notBefore> SAML 2.0 証明書を特定できません 連絡先が確実に IdP であるその他のエラーメッセージ: 送信された SAML 要求を受け入れられない場合のログインまたは ID プロバイダー (IdP) の一般的なエラー 認証が失敗し、ログイン要求によってシステムと IdP 間に無限のループが生成されます (例:IdP で高セキュリティがアクティブな場合)。 インスタンスで rsa-sha128 が予期されている場合、SAML 要求は、rsa-sha256 アルゴリズムで署名され、そうでない場合は逆になります。イベントの詳細については、IdP の [アラートコンテキスト] タブを確認してください。署名アルゴリズムは http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 または http://www.w3.org/2000/09/xmldsig#rsa-sha1 のようになります。 SAML 応答には urn:oasis:names:tc:SAML:2.0:status:Responder が含まれます システムログのエラーの確認方法: MultiSSO のデバッグを有効にします。[sys_properties] で、レコード [glide.authenticate.multisso.debug] の値を true にするか、そのようなレコードを作成します。インスタンスのシステムログ (syslog) で、その日に作成され、ソースが「SAML」で始まるレコードを検索します。 注意:これはログでエラーを検索する一般的な方法です。<instance>/syslog_list.do?sysparm_query=sys_created_onONToday%40javascript%3Ags.beginningOfToday()%40javascript%3Ags.endOfToday()%5EsourceSTARTSWITHSAML%5Elevel!%3D0Causeこれらのエラーのほとんどは、インスタンスまたは IdP プロバイダーの複数プロバイダーシングルサインオン (SSO) コンポーネントの欠落、証明書の変更、ブラウザに保存された Cookie が原因で発生します。Resolutionローカルのアドミニストレーターアカウントを使用してインスタンスにログインします。次に、複数プロバイダー SSO レコード (sso_properties テーブル) の ID プロバイダー (IdP) レコードで、[テスト接続] ボタンを使用します。問題が発生しているユーザーのログイン用認証情報を使用します。問題の分野についてさらに詳細な情報が得られます。 注意:クローン後に認証の問題が発生した場合は、KB0657100 を参照してください。