このトピックでは、一般的なシングルサインオンの失敗に対するトラブルシューティングプロセスについて説明します。

[SSL Client Cert Require (SSL クライアント証明書が必要)] が有効になっていると、SAML シングルサインオンを使用してユーザーを認証できない

MOVEit Transfer のユーザープロファイルで [SSL Client Cert Require (SSL クライアント証明書が必要)][Yes (はい)] に設定されていると、ユーザーが認証されません。このオプションは [No (いいえ)] に設定する必要があります (このタイプのサインオン失敗は監査ログに記録されません)。クライアント証明書を使用する場合は、ID プロバイダを使用して証明書を処理する必要があります。

MOVEit の [Sign-on (サインオン)] ページでの認証エラー

シングルサインオン認証に失敗すると、MOVEit Transfer の [Sign On (サインオン)] ページに次の通知が表示される場合があります。 

Unable to authenticate with Identity Provider or not allowed to sign on from this location. (ID プロバイダを使用して認証できないか、この場所からサインオンすることができません。)

問題を評価して修正するには、以下のプロセスを使用してください。

  1. 設定を確認します。以下の点を確認してください。
    • ID プロバイダと互換性があるアサーションコンシューマインターフェイスが有効になっていること。
    • ID プロバイダで MOVEit Transfer メタデータファイルの最新バージョンが使用されており、MOVEit サーバーで ID プロバイダのメタデータファイルの最新バージョンが使用されていること。
    • MOVEit ID プロバイダ設定のスキュー許容が十分であること。
    • 新しいユーザーを認証する場合は、MOVEit ID プロバイダ設定でユーザーの新規作成が許可されていること。
    • MOVEit ID プロバイダのユーザー設定およびグループ設定が正しく行われていること。

      MOVEit 設定については、「ユーザー認証 - シングルサインオン」ページを参照してください。ID プロバイダに固有の設定については、ご使用の ID プロバイダのドキュメントを参照してください。

      すべて正しく設定されていることを確認したら、作業を続けます。

  2. <DMZ_Install_Dir>\Logs (C:\MOVEitDMZ\Logs など) にある DMZ_Web.log を確認します。診断ログの設定によっては、これらのログにエラーが記録される場合があります。現在のログ設定を確認するには、[Start (スタート)] メニュー > [Programs (プログラム)] > [MOVEit Transfer] > [MOVEit Transfer Config] > [Status (ステータス)] タブに移動します。認証の問題を確認するには、[User Error (ユーザーエラー)] 設定で十分です。詳細なデバッグ情報については、[All Debug (すべてデバッグ)] を使用してください。

    ログ設定を確認します。

  3. 最新のログエントリを調べます。前の手順でログ設定を変更した場合は、ログ情報を確認できるように、もう一度ユーザーにサインオンを試行させます。

    ログには以下のようなエラーが記録される場合があります。

    ID プロバイダからの認証応答エラー

    次のエラーは ID プロバイダの問題を示しています。

    BindingHandler.AuthenticateSAMLResponse:Authentication not successful:Code:urn:oasis:names:tc:SAML:2.0:status:ResponderSILUser.ExecuteAuthenticators:User '' failed to authenticate with authenticator:SAML Assertion Authenticator

    また、一部の ID プロバイダでは、Windows イベントログまたは独自のログでエラーが報告されます。MOVEit ログでこのエラーを見つけた場合は、ID プロバイダのマシンに戻り、Windows イベントログのエントリがないかどうか、または ID プロバイダが認証の実行に失敗した理由を示すログがないかどうかを確認してください。

    MOVEit シングルサインオン設定のエラー: 認証要求

    次のエラーは MOVEit Transfer サーバーの問題を示しています。

    Authentication not successful:Code:urn:oasis:names:tc:SAML:2.0:status:Requester

    設定を確認するには、「ユーザー認証 - シングルサインオン」を参照してください。MOVEit カスタマーポータルにも役立つ情報があります。

    MOVEit シングルサインオン構成のエラー:スキュー許容

    次のエラーは、"スキュー許容" 設定の問題を示しています。

    SAMLAuthenticator.AllowedByConditions:Current time (2013-12-18T20:23:01.3936301Z) is outsideof assertion valid time range (2013-12-18T20:23:01.756Z to 2013-12-18T21:23:01.756Z) with skewallowance 00:00:00 SILUser.ExecuteAuthenticators:User 'user1' failed to authenticate withauthenticator:SAML Assertion Authenticator

    MOVEit ID プロバイダのスキュー許容設定を確認し、エラーが発生しないようにこの値を調整してください。