パスワードベースのシングル サインオンのトラブルシューティング
[アーティクル] 2023/10/28
16 人の共同作成者
フィードバック
この記事の内容
マイ アプリのブラウザー拡張機能がインストールされていない
シングル サインオンが構成されていない
ユーザーが割り当てられていない
資格情報を入力したが、拡張機能によって送信されない
資格情報を入力して送信したが、ページには資格情報が正しくないと表示される
アプリケーションのログイン ページが最近変更されたり、追加のフィールドが必要になったりしたかどうかを確認する
アプリのサインイン フィールドをキャプチャする
問題のトラブルシューティング
サポートの要求
次のステップ
さらに 6 個を表示
マイ アプリでパスワードベースのシングルサインオン (SSO) を使用するには、ブラウザー拡張機能をインストールする必要があります。 この拡張機能は、パスワード ベースの SSO 用に構成されているアプリを選ぶと、自動的にダウンロードされます。 エンドユーザーの視点からマイ アプリを使用する方法については、マイ アプリ ポータルのヘルプ に関するページを参照してください。
マイ アプリのブラウザー拡張機能がインストールされていない
ブラウザー拡張機能がインストールされていることを確認します。 詳細については、「Microsoft Entra マイ アプリのデプロイの計画 」を参照してください。
パスワードベースのシングル サインオンが構成されていることを確認します。 詳細については、「パスワードベースのシングル サインオンの構成 」を参照してください。
ユーザーがアプリに割り当てられていることを確認します。 詳細については、「ユーザーまたはグループをアプリに割り当てる 」を参照してください。
資格情報を入力したが、拡張機能によって送信されない
この問題は通常、アプリケーション ベンダーがサインイン ページを最近変更して、フィールドを追加したり、ユーザー名とパスワードのフィールドを検出するために使用されていた識別子を変更したり、アプリケーションのサインイン エクスペリエンスのしくみを変更したりした場合に発生します。 多くの場合は、Microsoft がアプリケーション ベンダーと協力して、これらの問題を迅速に解決することができます。
Microsoft には、統合の破綻を自動的に検出するテクノロジがありますが、このような問題をすぐに発見できなかったり、修正に時間がかかったりする場合があります。 このような統合が正しく機能しない場合は、サポート ケースを開いていただければ、できるだけ早く対処いたします。
このアプリケーションのベンダーに連絡する 場合は、アプリケーションを Microsoft Entra ID にネイティブに統合できるように、Microsoft と連係するよう伝えてください。 連係を開始するために、「Microsoft Entra アプリケーション ギャラリーでのアプリケーションの表示 」をベンダーに参照してもらいます。
資格情報を入力して送信したが、ページには資格情報が正しくないと表示される
この問題を解決するには、まず次のことを試してください。
まずユーザーに、格納されている資格情報でアプリケーション Web サイトに直接サインイン してみてもらいます。
サインインできた場合は、マイ アプリ の [アプリ] セクションにあるアプリケーション タイル の [資格情報の更新] ボタンをユーザーにクリックしてもらい、動作している最新の既知のユーザー名とパスワードに資格情報を更新します。
自分または別の管理者がこのユーザーに資格情報を割り当てた場合は、アプリケーションの [Users & Groups (ユーザーとグループ)] タブに移動してユーザーまたはグループのアプリケーション割り当てを見つけ、割り当てを選択してから [資格情報の更新] ボタンをクリックします。
ユーザーが自分の資格情報を割り当てた場合は、ユーザーにパスワードがアプリケーションで期限切れになっていないことを確認 してもらい、期限切れになっている場合はアプリケーションに直接サインインして、期限切れになっているパスワードを更新 してもらいます。
アプリケーションでパスワードが更新された後で、マイ アプリ の [アプリ] セクションにあるアプリケーション タイル の [資格情報の更新] ボタンをユーザーにクリックしてもらい、動作している最新の既知のユーザー名とパスワードに資格情報を更新します。
自分または別の管理者がこのユーザーに資格情報を割り当てた場合は、アプリケーションの [Users & Groups (ユーザーとグループ)] タブに移動してユーザーまたはグループのアプリケーション割り当てを見つけ、割り当てを選択してから [資格情報の更新] ボタンをクリックします。
ユーザーのブラウザーで、マイ アプリのブラウザー拡張機能が実行され、有効になっていることを確認します。
ユーザーが incognito、inPrivate、または Private モード でマイ アプリからアプリケーションにサインインしようとしていないことを確認します。 マイ アプリの拡張機能は、これらのモードではサポートされていません。
これでうまくいかない場合は、アプリケーション側で変更が行われ、アプリケーションと Microsoft Entra ID との統合が一時的に破綻している可能性があります。 たとえば、アプリケーション ベンダーがページに導入したスクリプトの動作が手動入力と自動入力で異なることが原因で、Azure AD との場合のような自動化された統合が破綻することがあります。 多くの場合は、Microsoft がアプリケーション ベンダーと協力して、これらの問題を迅速に解決することができます。
Microsoft には、アプリケーションの統合の破綻を自動的に検出するテクノロジがありますが、このような問題をすぐに発見できなかったり、修正に時間がかかったりする場合があります。 統合が正常に機能しないときは、サポート ケースを開いていただければ、できるだけ早く対処いたします。
さらに、このアプリケーションのベンダーに連絡する 場合は、アプリケーションを Microsoft Entra ID にネイティブに統合できるように、Microsoft と連係するようお伝えください 。 連係を開始するために、「Microsoft Entra アプリケーション ギャラリーでのアプリケーションの表示 」をベンダーに参照してもらいます。
アプリケーションのログイン ページが最近変更されたり、追加のフィールドが必要になったりしたかどうかを確認する
アプリケーションのログイン ページが大幅に変更されると、それによって統合が破綻することがあります。 たとえば、アプリケーション ベンダーがエクスペリエンスにサインイン フィールド、CAPTCHA、または多要素認証を追加した場合です。 多くの場合は、Microsoft がアプリケーション ベンダーと協力して、これらの問題を迅速に解決することができます。
Microsoft には、アプリケーションの統合の破綻を自動的に検出するテクノロジがありますが、このような問題をすぐに発見できなかったり、修正に時間がかかったりする場合があります。 統合が正常に機能しないときは、サポート ケースを開いていただければ、できるだけ早く対処いたします。
さらに、このアプリケーションのベンダーに連絡する 場合は、アプリケーションを Microsoft Entra ID にネイティブに統合できるように、Microsoft と連係するようお伝えください 。 連係を開始するために、「Microsoft Entra アプリケーション ギャラリーでのアプリケーションの表示 」をベンダーに参照してもらいます。
サインイン フィールドのキャプチャは、HTML 対応のサインイン ページでのみサポートされます。 Adobe Flash やその他の HTML 非対応テクノロジを使用するページなどの非標準サインイン ページではサポートされていません。
ご自分のカスタム アプリのサインイン フィールドをキャプチャするには、2 つの方法があります。
自動サインイン フィールド キャプチャ は、ほとんどの HTML 対応サインイン ページでうまく機能します (ユーザー名とパスワードのフィールドで、よく知られた DIV ID が使用されている場合)。 ページの HTML が取得され、特定の条件に一致する DIV ID が検索されます。 そのメタデータは、後でアプリに対して再生できるように、保存されます。
手動サインイン フィールド キャプチャ は、アプリ ベンダーがサインイン入力フィールドにラベルを付けていない 場合に使用します。 手動キャプチャは、自動検出することができない複数のフィールドをベンダーが表示 する場合にも使用します。 Microsoft Entra ID は、ページ上のどこにフィールドがあるかが指定されれば、サインイン ページ上にあるすべてのフィールドのデータを格納できます。
一般に、自動サインイン フィールド キャプチャが機能しない場合は、手動オプションを試してください。
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
アプリのサインイン フィールドを自動的にキャプチャする
自動サインイン フィールド キャプチャを使用して、パスワードベースの SSO を構成するには、これらの手順に従います。
クラウド アプリケーション管理者 以上として Microsoft Entra 管理センター にサインインします。
[ID] >[アプリケーション] >[エンタープライズ アプリケーション] >[すべてのアプリケーション] に移動します。
SSO を構成するアプリを選択します。
アプリが読み込まれたら、左側のナビゲーション ウィンドウで、[シングル サインオン] を選択します。
[パスワード ベースのサインオン] モードを選択します。
サインオン URL を入力します。これは、ユーザーがサインインするために自分のユーザー名とパスワードを入力するページの URL です。 指定する URL のページ上にサインイン フィールドが表示されていることを確認してください 。
[保存] を選択します。
このページは、ユーザー名とパスワードの入力ボックス用に自動的に取得されます。 これで、Microsoft Entra ID を使用し、マイ アプリのブラウザー拡張機能を利用してそのアプリにパスワードを安全に送信できます。
アプリのサインイン フィールドを手動でキャプチャする
サインイン フィールドを手動でキャプチャするには、マイ アプリのブラウザー拡張機能がインストールされている必要があります。 また、お使いのブラウザーを inPrivate 、incognito 、および private モードで実行することはできません。
手動サインイン フィールド キャプチャを使用して、アプリに対してパスワードベースの SSO を構成するには、これらの手順に従います。
クラウド アプリケーション管理者 以上として Microsoft Entra 管理センター にサインインします。
[ID] >[アプリケーション] >[エンタープライズ アプリケーション] >[すべてのアプリケーション] に移動します。
SSO を構成するアプリを選択します。
アプリが読み込まれたら、左側のナビゲーション ウィンドウで、[シングル サインオン] を選択します。
[パスワード ベースのサインオン] モードを選択します。
サインオン URL を入力します。これは、ユーザーがサインインするために自分のユーザー名とパスワードを入力するページです。 指定する URL のページ上にサインイン フィールドが表示されていることを確認してください 。
[<appname> パスワード シングル サインオン設定の構成] を選択します。
[サインイン フィールドの手動検出] を選択します。
[OK] を選択します。
[保存] を選択します。
手順に従って、マイ アプリを使用します。
"その URL でサインイン フィールドが見つかりませんでした" というエラーが表示される
サインイン フィールドの自動検出が失敗した場合に、このエラー メッセージが表示されます。 この問題を解決するには、手動サインイン フィールド検出を試します。 この記事の「アプリのサインイン フィールドを手動でキャプチャする 」セクションを参照してください。
"シングル サインオンの構成を保存できません" というエラーが表示される
まれに SSO 構成の更新に失敗することがあります。 この問題を解決するには、構成をもう一度保存してみます。
引き続きエラーが表示される場合は、サポート ケースを開きます。 この記事の「ポータル通知の詳細を表示する 」と「支援を受けるためにサポート エンジニアに通知の詳細を送信する 」セクション内で説明されている情報を含めてください。
自分のアプリのサインイン フィールドを手動で検出できない
手動検出が機能しない場合は、次の動作が見られる場合があります。
手動キャプチャ プロセスは機能しているように見えるが、キャプチャされたフィールドが正しくない。
キャプチャ プロセスを実行しているときに、正しいフィールドが強調表示されない。
キャプチャ プロセスにより、期待どおりにアプリのサインイン ページに移動するが、何も起こらない。
手動キャプチャは機能しているように見えるが、ユーザーがマイ アプリからアプリに移動しても SSO が行われない。
これらの問題のいずれかが発生した場合は、次のことを行います。
マイ アプリのブラウザー拡張機能の最新バージョンが "インストールされ、有効になっている " ことを確認します。
キャプチャ プロセス中にお使いのブラウザーが incognito 、inPrivate 、または Private モードでないことを確認します。 マイ アプリの拡張機能は、これらのモードではサポートされていません。
incognito 、inPrivate 、または Private モード のときに、ユーザーがマイ アプリからアプリにサインインしようとしていないことを確認します。
手動キャプチャ プロセスをもう一度試します。 正しいフィールドに赤いマーカーが表示されていることを確認します。
手動キャプチャ プロセスの応答が停止しているように見えるか、サインイン ページが応答しない場合は、手動キャプチャ プロセスをもう一度試します。 ただし、今回はプロセスを完了した後で F12 キーを押して、ブラウザーの開発者コンソールを開きます。 [コンソール] タブを選択します。「window.location=" <アプリの構成時に指定したサインイン URL> " 」と入力し、Enter キーを押します。 これにより、キャプチャ プロセスを終了し、キャプチャされたフィールドを格納するページ リダイレクトが強制的に実行されます。
パスワードベースの SSO アプリに別のユーザーを追加できない
ユーザーが直接割り当てられているすべてのパスワード SSO アプリで、48 を超える資格情報を構成することはできません。
パスワード ベースの SSO を持つアプリをユーザーに追加する場合は、ユーザーが直接メンバーであるグループにアプリを割り当て、そのグループの資格情報を構成することを検討してください。 グループに対して構成された資格情報は、グループのすべてのメンバーに対して使用可能になることに注意してください。
パスワードベースの SSO アプリに別のグループを追加できない
各パスワード ベースの SSO アプリには、割り当てられた 48 のグループの制限があり、それらに対して資格情報が構成されています。 グループをさらに追加したい場合は、次のいずれかを使用できます。
アプリのインスタンスをさらに追加する
アプリを使用しなくなったグループを削除する
SSO を設定してユーザーを割り当てるときにエラー メッセージが表示される場合は、サポート チケットを開きます。 次の情報をできるだけお知らせください。
関連エラー ID
UPN (ユーザーの電子メール アドレス)
TenantId
ブラウザーの種類
タイム ゾーンと、エラーが発生したときの時刻/時間帯
Fiddler のトレース
ポータルの通知の詳細を確認するには、これらの手順に従います。
Microsoft Entra 管理センターの右上隅にある [通知] アイコン (ベル) を選択します。
[エラー] 状態が表示されている任意の通知を選択します (赤い "!" が表示されているものです)。
注意
[成功] または [進行中] 状態の通知を選択することはできません。
[通知の詳細] ウィンドウが開きます。 情報を読んで問題を把握します。
依然として支援が必要な場合は、この情報をサポート エンジニアまたは製品グループと共有します。 [エラーのコピー] ボックスの右にある [コピー] アイコンを選択して、共有する通知の詳細をコピーします。
支援を受けるためにサポート エンジニアに通知の詳細を送信する
このセクションに記載されている詳細を "すべて " サポートと共有することが重要です。これにより、すばやい解決が実現します。 これを記録するには、スクリーンショットを撮るか、[エラーのコピー] を選択します。
次の情報は、各通知項目の意味を説明し、例を示しています。
タイトル : 通知のわかりやすいタイトル。
例:"アプリケーション プロキシの設定 "
説明 : 操作の結果として発生したこと。
例:"入力された内部 URL は、既に別のアプリケーションで使用されています。 "
通知 ID : 通知の一意の ID。
例: clientNotification-2adbfc06-2073-4678-a69f-7eb78d96b068
クライアント要求 ID : お使いのブラウザーで作成された特定の要求 ID。
例: 0000aaaa-11bb-cccc-dd22-eeeeee333333
タイム スタンプ UTC : 通知発生時のタイムスタンプ (UTC)。
例:2017-03-23T19:50:43.7583681Z
内部トランザクション ID : Microsoft のシステム内でエラーを検索するために使用される内部 ID。
例:71a2f329-ca29-402f-aa72-bc00a7aca603
UPN :操作を実行したユーザー。
例: tperkins@f128.info
テナント ID : 操作を実行したユーザーがメンバーであるテナントの一意の ID。
例: aaaabbbb-0000-cccc-1111-dddd2222eeee
ユーザー オブジェクト ID :操作を実行したユーザーの一意の ID。
例: aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
表示名 : (空白でも可) エラーの詳細な表示名。
例:"アプリケーション プロキシの設定 "
状態 : 通知の特定の状態。
例:Failed
オブジェクト ID : (空でも可) 実行された操作の対象であるオブジェクト ID。
例: aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
詳細 : 操作の結果として発生したことについての詳細な説明。
例:"内部 URL "https://bing.com/ " は既に使用中のため無効です。 "
エラーのコピー : [エラーのコピー] ボックスの右にある [コピー] アイコンを選択すると、サポートに役立つ通知の詳細をコピーできます。
例:
{"errorCode":"InternalUrl\_Duplicate","localizedErrorDetails":{"errorDetail":"Internal url 'https://google.com/' is invalid since it is already in use"},"operationResults":\[{"objectId":null,"displayName":null,"status":0,"details":"Internal url 'https://bing.com/' is invalid since it is already in use"}\],"timeStampUtc":"2017-03-23T19:50:26.465743Z","clientRequestId":"00aa00aa-bb11-cc22-dd33-44ee44ee44ee","internalTransactionId":"aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb","upn":"tperkins@f128.info","tenantId":"aaaabbbb-0000-cccc-1111-dddd2222eeee","userObjectId":"aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"}