SAML エラーと修正 (SAML 2.0/SAML 2.0 Update 1)Issue SAML プラグインの有効化と初期設定の後に、エラーが表示されて P1 機能停止が生じる場合があります。Releaseインスタンスが SAML 2.0/SAML 2.0 Update 1 プラグインで設定されています (複数プロバイダー SSO が設定されていない/有効になっていません)Resolution<!-- div.margin{ padding: 10px 40px 40px 30px; } table.tocTable{ border: 1px solid; border-color:#E0E0E0; background-color: rgb(245, 245, 245); padding-top: .6em; padding-bottom: .6em; padding-left: .9em; padding-right: .6em; } table.noteTable{ border:1px solid; border-color:#E0E0E0; background-color: rgb(245, 245, 245); width: 100%; border-spacing:2; } table.internalTable{ border:1px solid; border-color:#E0E0E0; background-color: rgb(245, 245, 245); width: 100%; border-spacing:0; } .sp td{ border-bottom: 1px solid; border-right: 1px solid; border-color:#E0E0E0; background-color: #ffffff; height: 20px; padding-top: .5em; padding-bottom: .5em; padding-left: .5em; padding-right: .5em; } .sphr td{ border-right: 1px solid; border-bottom: 1px solid; border-color:#E0E0E0; background-color: rgb(245, 245, 245); padding-top: .5em; padding-bottom: .5em; padding-left: .5em; padding-right: .5em; height: 20px; } .title { color: #D1232B; font-weight:; font-size:25px; } .hd1{ color: #D1232B; font-weight:; font-size:18px; } .hd2{ color: #646464; font-weight:bold; font-size:16px; } .hd3{ color: #7a7a7a; font-weight:; font-size:16 px; text-decoration:; } .hd4{ color: #000000; font-weight:bold; font-size:14 px; text-decoration:; } .scroll { border: 0; border-collapse: collapse; margin-bottom: 50px; } .scroll tr { display: flex; } .scroll thead tr:after { content: '';<span id="CmCaReT"></span> height: 0; } .scroll tbody { display: block; width: 100%;<span id="CmCaReT"></span> } .scroll tbody tr { vertical-align: top; } .scroll tbody a { color: #278efc; } .scroll th { flex: 1 auto; display: block; border: 1px solid #000; background-color: #b8aeae; vertical-align: middle; color: #000000; font-weight: bold; padding: 1px 3px; } .scroll td { flex: 1 auto; border: 1px solid #aaa; width: 1px; word-wrap: break-word; padding-top: .5em; padding-bottom: .5em; padding-left: 1.5em; padding-right: .5em; } .scroll .col1 { width: 25%;} .scroll .col2 { width: 15%;} .scroll .col3 { width: 30%;} .scroll .col4 { width: 30%;} .scroll .col4 ul{ padding: .5em; } --> インスタンスログのエラー対応する SAML プロパティ診断修正NotAfter: <Thu Jun 05 22:57:44 PDT 2014>該当なし現在の証明書または SAML アサーションの有効期限が切れました。 SNC クロックを ID プロバイダー (IdP) サーバークロックと同期します。「SAML 2.0」証明書レコードを更新します。 SAML 2.0 証明書を特定できません。ServiceNow インスタンスに保存されているデジタル署名が見つかりませんでした。 PEM 形式の文字列を [PEM 証明書] フィールドに入力する必要があります。SAML 証明書が存在しません。非アクティブの可能性があります。 正しい PEM 形式の証明書がインスタンスにアップロードされていることを確認します。証明書の名前 が SAML 2.0 であることを確認します。それ以外の名前は許可されません。 証明書が一致しません。想定:<certStr>、実際:<inboundCert>該当なしSNC で利用可能な証明書がアサーションの証明書と一致しません。次のような原因が考えられます。 IdP では証明書が更新されているが、SNC インスタンスでは更新されていない。証明書の形式が正しくない。 SAML 2.0 証明書レコードの PEM 形式の文字列が、ユーザー IdP の SAMLResponse の X509 証明書と一致していることを確認します。証明書の有効性の確認に失敗しました。該当なし現在の証明書の有効期限が切れている可能性があります。SAML 2.0 証明書レコードを更新します。署名プロファイルの検証に失敗しました。該当なしアサーションが別の証明書で署名されている可能性があります。IdP に SNC インスタンスと同じ証明書があるかどうかを確認します。SubjectConfirmationData の InResponseTo 属性が一致しません。(InResponseTo attribute in SubjectConfirmationData mismatch.)想定:<inResponseTo>、実際:<inResponseTo>。該当なしこのエラーは、次のいずれかの状況が発生した場合に表示されます。 IdP が別の SAMLRequest の SAMLResponse を返す場合ユーザーがインスタンス URL ではなく SAMLRequest を使用して URL をブックマークする場合null 値が想定される場合、インスタンスに複数のノードがあると、応答が別のノードに送信される可能性があります。 IdP 管理者は、想定される SAMLResponse が返されていることを確認する必要があります。この状況は、ロードバランサーまたはインフラストラクチャの問題である可能性があります。SessionIndex 値が見つかりません:<メッセージ>...該当なしSNC インスタンスには SessionIndex が必要です。正常に認証するために、IdP は SAMLResponse で返す必要があります。IdP 管理者は、SessionIndex が SAMLResponse で定義されていることを確認する必要があります。有効な SubjectConfirmation が見つかりません。該当なしIdP のエラーにより、条件が欠落している可能性があります。 応答の StatusCode には、想定される成功ではなくレスポンダーが含まれます。SAMLResponse を確認して、SAMLResponse に条件が含まれているかどうかを判断します。 有効な件名確認データの有効期限が切れているか、対象者に対して適切でない可能性があります。アサーション対象者が一致しません。想定:<value on instance>、実際:<value returned by IdP>。 またはAudienceRestriction の検証に失敗しました。一致する対象者が見つかりません。SAML2 トークンを受け入れる対象者 URI。(通常、インスタンス URI。たとえば https://demo.service-now.com)。SNC インスタンスで構成された対象者 URI は、IdP の値と一致する必要があります。ログの SAMLResponse で を探し、この値がインスタンスの値と一致することを確認します。アサーションの発行者が無効です。想定:<value on instance>、実際:<value returned by IdP>ユーザー情報と一緒に SAML2 セキュリティトークンを発行する ID プロバイダーの URL。IdP エンティティ ID (発行者) が SNC インスタンスで定義された値と一致しません。 IdP または SP の設定が不適切でないかを確認します。SAML プロパティ (ユーザー情報と一緒に SAML2 セキュリティトークンを発行する ID プロバイダーの URL) が正しく設定されているかを確認します。 件名は将来有効になります。現在:<now>、NotBefore:<notBefore>または件名の有効期限が切れました。現在:<now>、NotOnOrAfter:<notOnOrAfter>まだ有効であるとみなされる notBefore 定数以前または notOnOrAfter 定数以後の秒単位の数値。IdP クロックが SP クロックと同期していません。 SAML 2.0/SAML 2.0 Update 1 プラグインが設定されている場合SAML プロパティ glide.authenticate.sso.saml2.clockskew をより大きな値に更新します。デフォルトの時間は 60 秒です。場合によっては 180 に設定する必要があります。IdP サーバーの時間も確認する必要があります。 マルチプロバイダー SSO プラグインが設定されている場合問題が報告されている ID プロバイダーレコードそれぞれの [クロックスキュー] フィールドを更新します。 アサーションは将来有効になります。現在:<now>、notBefore:<notBefore>またはアサーションの有効期限が切れました。現在:<now>、notOnOrAfter:<notOnOrAfter>まだ有効であるとみなされる notBefore 定数以前または notOnOrAfter 以後の秒単位の数値。IdP クロックが SP クロックと同期していません。 SAML 2.0/SAML 2.0 Update 1 プラグインが設定されている場合SAML プロパティ glide.authenticate.sso.saml2.clockskew をより大きな値に更新します。デフォルトの時間は 60 秒です。場合によっては 180 に設定する必要があります。IdP サーバーの時間も確認する必要があります。 マルチプロバイダー SSO プラグインが設定されている場合問題が報告されている ID プロバイダーレコードそれぞれの [クロックスキュー] フィールドを更新します。 追加エラーメッセージ 一般的なログインまたは ID プロバイダー (IdP) エラーIdP診断修正高セキュリティがアクティブな場合、ログイン要求はシステムと IdP の間で無限ループを生成します。 通常、URL エンドポイントはエラーページまたはログアウトページになります。IdP ホスト名をプロパティ値に追加せずに glide.security.url.whitelist を定義すると、 logout_redirect.do によってこのループが作成される可能性があります。 失敗した認証要求をこの URL にリダイレクトするには、システムプロパティ glide.authenticate.failed_redirect を設定 (または作成) します。認証が失敗し、ログイン要求によってシステムと IdP 間に無限のループが生成されます。 High Security プラグインのセッションローテーション機能によって、SAML 2.0 認証プロセスに問題が発生する可能性があります。SAML 2.0 は URL を IdP にリダイレクトします。セッションのローテーションが有効になっていると、リダイレクトによってセッションがローテーションし、インスタンスは IdP への再クエリを強制されます。この状況では、インスタンスと IdP の間で新しいセッションの無限ループが生じます。認証に SAML 2.0 を使用する場合は、セッションローテーション機能を無効にしてください。ユーザーまたは要求の認証に使用されるトークンが、署名アルゴリズム http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 で署名されています。これは、想定される署名アルゴリズム http://www.w3.org/2000/09/xmldsig#rsa-sha1 とは異なります。イベントの詳細については、 [アラートコンテキスト (Alert Context)] タブを確認してください。ADFSイベントの詳細については、 [アラートコンテキスト (Alert Context)] タブを確認してください。[証明書利用者信頼設定 (Relying Party Trust configuration)] ダイアログの [詳細] タブに移動し、アルゴリズムが SHA-256 ではなく SHA-1 に設定されていることを確認します。urn:oasis:names:tc:SAML:2.0:status:Responder それぞれのログイン試行中に IdP ログを確認します。インスタンスは、SAMLResponse の処理が試行される前に urn:oasis:names:tc:SAML:2.0:status:Success が表示されることを想定しています。インスタンス/IdP 上のどの設定を更新する必要があるのかサポートが判断できるように、IdP 管理者と連携して関連ログを提供してください。