トラブルシューティング


重要

Enterprise Manager は廃止されました。Security Cloud Control を使用して ID プロバイダーの統合を管理できるようになりました。詳細については、ID プロバイダー統合ガイドを参照してください。

既存の ID プロバイダー統合データはすべて、Security Cloud Control を介して使用できます。

シングルサインオン/SAML のエラー

統合のテストでの HTTP 400 エラー

エンタープライズ設定ウィザードでの IdP 統合のテストで HTTP 400 エラーが発生する場合は、次のトラブルシューティング手順を試してください。

ユーザーのサインオン電子メールドメインが申請したドメインと一致することを確認する

テストに使用しているユーザーアカウントの電子メールドメインが申請したドメインと一致していることを確認してください。

たとえば、example.com のような最上位ドメインを申請した場合、ユーザーは <username>@signon.example.com ではなく <username>@example.com でサインインする必要があります。

SAML 応答の <NameID> 要素が電子メールアドレスであることを確認する

SAML 応答の <NameId>要素の値は電子メールアドレスでなければなりません。電子メールアドレスは、ユーザーの SAML 属性で指定された email と一致する必要があります。詳細については、「SAML 応答の属性」を参照してください。

SAML 応答に正しい属性要求が含まれていることを確認する

IdP から Security Cloud Sign On への SAML 応答には、必須のユーザー属性である firstNamelastName、および email が含まれます。詳細については、「SAML 応答の要件」を参照してください。

IdP からの SAML 応答が SHA-256 で署名されていることを確認する

ID プロバイダーからの SAML 応答は、SHA-256 署名アルゴリズムで署名する必要があります。Security Cloud Sign On は、署名されていないアサーションまたは別のアルゴリズムで署名されたアサーションを拒否します。

エンタープライズウィザードのエラー

ドメインの検証時のエラー

電子メールドメインの検証でエラーが発生する場合は、次のトラブルシューティング手順を試してください。

しばらく待ってから再試行する

しばらく待ってから、もう一度 [検証(Verify)] をクリックしてみてください。DNS レコードの更新が DNS サーバーに伝達されるまでの時間は、サービスプロバイダーによって異なります。

TXT DNS レコードの名前と値を確認する

ドメインレジストラで作成した TXT DNS レコードの名前と値がエンタープライズ設定ウィザードで表示される内容と一致することを確認してください。

シングルサインオンのテスト時のエラー

統合のテストでエラーが発生する場合は、SAML 設定の問題やユーザーアカウントの問題である可能性があります。トラブルシューティングの手順については、シングルサインオン/SAML のエラー を参照してください。

シスコのセキュリティ製品との統合

シスコのセキュリティ製品でのサインオンのエラー

Security Cloud Sign On にはサインオンできるがシスコのセキュリティ製品の 1 つ以上にサインオンできない場合は、次の点を確認してください。

Security Cloud Sign On のオプトインが必要な製品かどうかを確認する

シスコのセキュリティ製品には、Cisco Umbrella のように Security Cloud Sign On がデフォルトでサポートされる製品もあれば、オプトインが必要な製品もあります。オプトインが必要なシスコのセキュリティ製品については、サポートされるセキュリティ製品のリストで確認できます。

Security Cloud Sign On の識別情報が製品の識別情報と一致することを確認する

各ユーザーの Security Cloud Sign On の識別情報(電子メール)が製品の識別情報と一致する必要があります。たとえば、user@example.com.というユーザー名の Security Cloud Sign On アカウントがあるとします。この Security Cloud Sign On アカウントを使用して Umbrella で正常に認証するには、同じ電子メールを持つ既存の Umbrella アカウントが必要です。