MagicPodのSAML認証で発生するエラーの原因と対処方法について説明します。SAML認証の基本的な設定方法については、SAML認証の設定をご参照ください。
目次
- SAMLエラーの確認方法
- There is no AttributeStatement on the Response
- The Message of the Response is not signed and the SP require it
- The Assertion of the Response is not signed and the SP require it
- XXX is not a valid audience for this Response
- Invalid issuer in the Assertion/Response
- ログインできない場合の復旧方法
1. SAMLエラーの確認方法
組織の管理者は、メンバー一覧ページでSAML認証エラーを確認できます。エラーが発生しているメンバーには警告アイコン(⚠)が表示され、アイコンにマウスを合わせるとエラーの詳細とエラー発生日時が表示されます。
2. There is no AttributeStatement on the Response
- エラーメッセージ:
There is no AttributeStatement on the Response - 原因: IdP(Identity Provider)から返されたSAMLレスポンスのAssertion内にAttributeStatement要素が含まれていません。MagicPodではAttributeStatementが必須です。
- 対処方法
- IdPの属性マッピング(Attribute Mapping)設定で、MagicPodアプリケーションに対して属性(Attributes)が設定されていることを確認してください。
- 対象ユーザーに必要な属性値(メールアドレスなど)が割り当てられていることをIdP側で確認してください。
- IdPプロバイダ別の署名設定箇所
-
Microsoft Entra ID: 属性とクレームセクションで新しいクレームの追加をクリックし、以下の属性を追加してください。
名前 名前空間 ソース ソース属性 email (空欄) Attribute user.mail -
Okta: サインオンタブの 属性ステートメント セクションで、以下の属性を追加してください。
名前 名前のフォーマット 値 email Basic user.email - OneLogin: Parameters タブで、NameID value フィールドを Email に設定してください。
- Add parameter (+ボタン)をクリックします。
-
Field name に
emailと入力します。 - Include in SAML assertion にチェックを入れます。
- Save をクリックします。
- 作成した
emailパラメータをクリックして編集画面を開きます。 - Value のドロップダウンから Email を選択します。
- Save をクリックします。
-
3. The Message of the Response is not signed and the SP require it
- エラーメッセージ:
The Message of the Response is not signed and the SP require it - 原因: IdPから返されたSAMLレスポンス(Message)に署名が付与されていません。MagicPodではレスポンスへの署名が必要です。
- 対処方法: IdPのSAMLアプリケーション設定で、**SAMLレスポンスに署名する**オプションが有効になっていることを確認してください。
- IdPプロバイダ別の署名設定箇所
- Microsoft Entra ID: 「証明書署名オプション」で「SAML応答とアサーションへの署名」を選択してください。
- Okta: アプリケーション設定 > SAMLの設定 > 詳細設定を表示> 「応答」の署名オプションを「署名済み」に設定してください。
- OneLogin: アプリケーション設定 > SSO > 「SAML Signature Element」を「Both」に設定してください。
4. The Assertion of the Response is not signed and the SP require it
- エラーメッセージ:
The Assertion of the Response is not signed and the SP require it - 原因: IdPから返されたSAMLレスポンス内のAssertion(認証情報)に署名が付与されていません。MagicPodではAssertionへの署名が必要です。
- 対処方法: IdPのSAMLアプリケーション設定で、**SAMLアサーションに署名する**オプションが有効になっていることを確認してください。
- IdPプロバイダ別の署名設定箇所
- Microsoft Entra ID: 「証明書署名オプション」で「SAML応答とアサーションへの署名」を選択してください。
- Okta: アプリケーション設定 > SAMLの設定 > 詳細設定を表示 > 「Assertion署名」を「署名済み」に設定してください。
- OneLogin: アプリケーション設定 > SSO > 「SAML Signature Element」を「Both」に設定してください。
- 注意: エラー3とエラー4の両方が発生する場合は、IdPの署名オプションをレスポンスとアサーションの両方に署名する設定にしてください。
5. XXX is not a valid audience for this Response
- エラーメッセージ:
https://app.magicpod.com/accounts/saml/metadata/ is not a valid audience for this Response - 原因: IdPに設定されているAudience URI(Entity ID)がMagicPodのEntity IDと一致していません。
-
対処方法:
IdPの設定で、Audience URI(Entity ID)が以下の値と完全に一致していることを確認してください。項目 値 Entity ID (Audience URI) https://app.magicpod.com/accounts/saml/metadata/重要: 末尾のスラッシュ(`/`)を含め、上記の値と完全に一致させてください。余分な空白や改行が含まれていないかもご確認ください。
6. Invalid issuer in the Assertion/Response
- エラーメッセージ:
Invalid issuer in the Assertion/Response - 原因: MagicPod側に設定された IdPのEntity ID が誤っている可能性があります。
- 対処方法: 組織設定ページの
Identity Providerの識別子にIdPのEntity IDが正しく入力されているか確認してください。
7. ログインできない場合の復旧方法
SAML認証でログインできない場合は、パスワードリセットからパスワードをリセットし、ID・パスワード認証でログインし直すことができます。