Azure Active Directory のアプリケーションに対する SAML に基づいたシングル サインオンをデバッグするDebug SAML-based single sign-on to applications in Azure Active Directory

Security Assertion Markup Language (SAML) 2.0 をサポートする Azure Active Directory (Azure AD) のアプリケーションについて、シングル サインオンの問題を見つけて修正する方法を説明します。Learn how to find and fix single sign-on issues for applications in Azure Active Directory (Azure AD) that support Security Assertion Markup Language (SAML) 2.0.

開始する前にBefore you begin

マイ アプリによるセキュリティで保護されたサインイン拡張機能をインストールすることをお勧めします。We recommend installing the My Apps Secure Sign-in Extension. このブラウザー拡張機能により、シングル サインオンに関する問題の解決に必要な SAML 要求および SAML 応答の情報を収集しやすくなります。This browser extension makes it easy to gather the SAML request and SAML response information that you need to resolving issues with single sign-on. 拡張機能をインストールできない場合でも、この記事では、拡張機能がインストールされている場合とされていない場合の両方について、問題を解決する方法が示されています。In case you cannot install the extension, this article shows you how to resolve issues both with and without the extension installed.

マイ アプリによるセキュリティで保護されたサインイン拡張機能ををダウンロードしてインストールするには、次のいずれかのリンクを使用します。To download and install the My Apps Secure Sign-in Extension, use one of the following links.

SAML に基づいたシングル サインオンをテストするTest SAML-based single sign-on

Azure AD と対象アプリケーションの間の、SAML に基づいたシングル サインオンをテストするには:To test SAML-based single sign-on between Azure AD and a target application:

  1. グローバル管理者またはアプリケーションを管理する権限があるその他の管理者として、Azure Portal にサインインします。Sign in to the Azure portal as a global administrator or other administrator that is authorized to manage applications.

  2. 左側のブレードで [Azure Active Directory] を選択し、[エンタープライズ アプリケーション] を選択します。In the left blade, select Azure Active Directory, and then select Enterprise applications.

  3. [エンタープライズ アプリケーション] の一覧で、シングル サインオンをテストするアプリケーションを選択し、左側のオプションの [シングル サインオン] を選択します。From the list of enterprise applications, select the application for which you want to test single sign-on, and then from the options on the left select Single sign-on.

  4. SAML ベースのシングル サインオン テスト エクスペリエンスを開くには、[シングル サインオンのテスト] (手順 5) に進みます。To open the SAML-based single sign-on testing experience, go to Test single sign-on (step 5). [テスト] ボタンが淡色表示される場合は、まず、[基本的な SAML 構成] セクションで必須の属性を入力して保存する必要があります。If the Test button is greyed out, you need to fill out and save the required attributes first in the Basic SAML Configuration section.

  5. [シングル サインオンのテスト] ブレードで、会社の資格情報を使用して対象のアプリケーションにサインインします。In the Test single sign-on blade, use your corporate credentials to sign in to the target application. 現在のユーザーまたは別のユーザーとしてサインインできます。You can sign in as the current user or as a different user. 別のユーザーとしてサインインする場合は、認証するよう求めるプロンプトが表示されます。If you sign in as a different user, a prompt will ask you to authenticate.

    SAML のテストのページ

正常にサインインしている場合は、テストに合格しました。If you are successfully signed in, the test has passed. この場合、Azure AD がアプリケーションに、SAML 応答トークンを発行しました。In this case, Azure AD issued a SAML response token to the application. アプリケーションはこの SAML トークンを使用して、正常にユーザーをサインインさせました。The application used the SAML token to successfully sign you in.

会社のサインイン ページまたはアプリケーションのページでエラーが発生する場合は、以降のセクションのいずれかに従ってエラーを解決します。If you have an error on the company sign-in page or the application's page, use one of the next sections to resolve the error.

会社のサインイン ページでのサインイン エラーを解決するResolve a sign-in error on your company sign-in page

サインインしようとすると、会社のサインイン ページに次の例のようなエラーが表示されることがあります。When you try to sign in, you might see an error on your company sign-in page that's similar to the following example.

サインイン エラー

このエラーをデバッグするには、エラー メッセージと SAML 要求が必要です。To debug this error, you need the error message and the SAML request. マイ アプリによるセキュリティで保護されたサインイン拡張機能は、この情報を自動的に収集し、Azure AD に解決ガイダンスを表示します。The My Apps Secure Sign-in Extension automatically gathers this information and displays resolution guidance on Azure AD.

インストールしたマイ アプリによるセキュリティで保護されたサインイン拡張機能を使用してサインインのエラーを解決するにはTo resolve the sign-in error with the My Apps Secure Sign-in Extension installed

  1. エラーが発生すると、拡張機能によって、ユーザーには Azure AD の [シングル サインオンのテスト] ブレードが表示されます。When an error occurs, the extension redirects you back to the Azure AD Test single sign-on blade.
  2. [シングル サインオンのテスト] ブレードで、[SAML 要求をダウンロードします] を選択します。On the Test single sign-on blade, select Download the SAML request.
  3. エラーと SAML 要求内の値に基づいて、具体的な解決ガイダンスが表示されます。You should see specific resolution guidance based on the error and the values in the SAML request.
  4. Azure AD の構成を自動的に更新して問題を解決する [修正する] ボタンが表示されます。You will see a Fix it button to automatically update the configuration in Azure AD to resolve the issue. このボタンが表示されない場合、サインインの問題は Azure AD の不適切な構成が原因ではありません。If you don't see this button, then the sign-in issue is not due to a misconfiguration on Azure AD.

サインイン エラーの解決策が表示されない場合は、フィードバック ボックスを使用して Microsoft に問い合わせることをお勧めします。If no resolution is provided for the sign-in error, we suggest that you use the feedback textbox to inform us.

MyApps Secure Sign-in 拡張機能をインストールせずにエラーを解決するにはTo resolve the error without installing the My Apps Secure Sign-in Extension

  1. ページの右下隅のエラー メッセージをコピーします。Copy the error message at the bottom right corner of the page. エラー メッセージには以下が含まれています。The error message includes:
    • CorrelationID とタイムスタンプ。A CorrelationID and Timestamp. これらの値は、Microsoft のエンジニアが問題を識別して、実際の問題に対する正確な解決策を提供する助けとなるため、Microsoft とのサポート ケースを作成するときに重要です。These values are important when you create a support case with Microsoft because they help the engineers to identify your problem and provide an accurate resolution to your issue.
    • 問題の根本原因を明らかにしている文章。A statement identifying the root cause of the problem.
  2. Azure AD に戻り、[シングル サインオンのテスト] ブレードを見つけます。Go back to Azure AD and find the Test single sign-on blade.
  3. [Get resolution guidance](解決ガイダンスの取得) の上にあるテキスト ボックスに、エラー メッセージを貼り付けます。In the text box above Get resolution guidance, paste the error message.
  4. [Get resolution guidance](解決ガイダンスの取得) をクリックし、問題を解決するための手順を表示します。Click Get resolution guidance to display steps for resolving the issue. ガイダンスには、SAML 要求または SAML 応答からの情報が必要な場合があります。The guidance might require information from the SAML request or SAML response. マイ アプリによるセキュリティで保護されたサインイン拡張機能を使用していない場合は、SAML の要求や応答を取得するために Fiddler などのツールが必要なことがあります。If you’re not using the My Apps Secure Sign-in Extension, you might need a tool such as Fiddler to retrieve the SAML request and response.
  5. SAML 要求に含まれる送信先が、Azure AD から取得した SAML シングル サインオン サービス URL に対応していることを確認します。Verify that the destination in the SAML request corresponds to the SAML Single Sign-On Service URL obtained from Azure AD.
  6. SAML 要求に含まれる発行者は、Azure AD のアプリケーションのために構成した識別子と同じです。Verify the issuer in the SAML request is the same identifier you have configured for the application in Azure AD. Azure AD は、発行者を使用してディレクトリ内のアプリケーションを検索します。Azure AD uses the issuer to find an application in your directory.
  7. AssertionConsumerServiceURL は、アプリケーションが Azure AD から SAML トークンを受け取ることになっている場所であることを確認します。Verify AssertionConsumerServiceURL is where the application expects to receive the SAML token from Azure AD. この値は Azure AD 内で構成できますが、SAML 要求の一部としては必須の値ではありません。You can configure this value in Azure AD, but it’s not mandatory if it’s part of the SAML request.

アプリケーションのページでサインイン エラーを解決するResolve a sign-in error on the application page

正常にサインインしてから、アプリケーションのページにエラーが表示される場合があります。You might sign in successfully and then see an error on the application's page. これは、Azure AD はアプリケーションにトークンを発行したのに、アプリケーションが応答を受け付けないときに発生します。This occurs when Azure AD issued a token to the application, but the application does not accept the response.

このエラーを解決するには、次の手順に従ってください。To resolve the error, follow these steps:

  1. アプリケーションが Azure AD ギャラリー内にある場合は、アプリケーションを Azure AD と統合するすべての手順に従ったことを確認します。If the application is in the Azure AD Gallery, verify that you've followed all the steps for integrating the application with Azure AD. アプリケーションの統合手順については、SaaS アプリケーションの統合に関するチュートリアルの一覧を参照してください。To find the integration instructions for your application, see the list of SaaS application integration tutorials.

  2. SAML 応答を取得します。Retrieve the SAML response.

    • マイ アプリによるセキュリティで保護されたサインイン拡張機能がインストールされている場合、[シングル サインオンのテスト] ブレードで、[download the SAML response](SAML 応答のダウンロード) をクリックします。If the My Apps Secure Sign-in extension is installed, from the Test single sign-on blade, click download the SAML response.
    • この拡張機能がインストールされていない場合は、Fiddler などのツールを使用して SAML 応答を取得します。If the extension is not installed, use a tool such as Fiddler to retrieve the SAML response.
  3. SAML 応答トークン内の以下の要素に注目します。Notice these elements in the SAML response token:

    • ユーザーの一意の識別子である NameID の値形式User unique identifier of NameID value and format

    • そのトークンで発行された要求Claims issued in the token

    • トークンの署名に使用された証明書。Certificate used to sign the token.

      SAML 応答の詳細については、「シングル サインオンの SAML プロトコル」を参照してください。For more information on the SAML response, see Single Sign-on SAML protocol.

  4. SAML 応答の内容を確認したので、問題の解決方法のガイダンスについて、「サインイン後、アプリケーションのページでエラーが発生する」を参照してください。Now that you have reviewed the SAML response, see Error on an application's page after signing in for guidance on how to resolve the problem.

  5. まだ正常にサインインできない場合は、SAML 応答には何が不足しているか、アプリケーション ベンダーに問い合わせることができます。If you're still not able to sign in successfully, you can ask the application vendor what is missing from the SAML response.

次の手順Next steps

アプリケーションに対してシングル サインオンが動作するようになったので、SaaS アプリケーションに対するユーザーのプロビジョニングとプロビジョニング解除を自動化するか、条件付きアクセスを使ってみることができます。Now that single sign-on is working to your application, you could Automate user provisioning and deprovisioning to SaaS applications or get started with conditional access.