AAD SAML認証トラブル時に切り分けに使えるログ
AADをIDPとして、サードパーテWEBアプリをSAML連携させたときに、トラブルが発生したら「AAD側が悪いのか」、「WEBアプリ側が悪いのか」切り分ける必要がある。
以下の方法で切り分けが可能になります。(MS確認結果
質問
ユーザが、SPの認証画面を訪問してからAADによるSAML認証を受け、SPにログインできるまでの一連の認証フローのどこかでエラーが発生した場合、切り分けのため、どこで、どのようなエラーが発生したか調査する必要があると考えております。
SAML認証に関連するログの確認するのがよいかと考えておりますが、Azure Portal上のどの画面から確認するのがよいでしょうか。(Azure Power Shellの方がより細かなログが確認できるとうことであれば、そちらも合わせてご教示いただけると助かります)
回答
SAML 認証に関連するログにつきましては、当該アプリケーションのサインイン ログからご確認いただけます。
サインイン ログの確認方法につきまして、下記にてご案内いたします。
- [Azure Active Directory] > [エンタープライズ アプリケーション] > 当該アプリケーションを選択 > [サインイン ログ] と進みます。
- [許可された時刻] で期間を選択し、サインイン ログを確認します。
また、SAML によるシングル サインオンの認証の流れは下図のように進みます。
~~~ 抜粋 ~~~
次の図は、このプロトコルでのシングル サインオンのシーケンスを示したものです。 クラウド サービス (サービス プロバイダー) は、HTTP リダイレクト バインディングを使用して、 AuthnRequest (認証要求) 要素を Azure AD (ID プロバイダー) に渡します。 Azure AD は、HTTP POST バインディングを使用して、 Response 要素をクラウド サービスに送信します。
サインイン ログで成功と表示されているにも関わらずエラーが発生する場合、Azure AD での認証処理 (上図の 5 番まで) は正常に完了しており、 6 番以降のアプリケーション側で SAML レスポンスを検証するタイミングでエラーが発生していると考えられます。
一方、サインイン ログで失敗と表示される場合には Azure AD 観点での調査が可能です。
ディスカッション
コメント一覧
まだ、コメントがありません