AAD SAML認証トラブル時に切り分けに使えるログ

AADをIDPとして、サードパーテWEBアプリをSAML連携させたときに、トラブルが発生したら「AAD側が悪いのか」、「WEBアプリ側が悪いのか」切り分ける必要がある。

以下の方法で切り分けが可能になります。(MS確認結果

質問

ユーザが、SPの認証画面を訪問してからAADによるSAML認証を受け、SPにログインできるまでの一連の認証フローのどこかでエラーが発生した場合、切り分けのため、どこで、どのようなエラーが発生したか調査する必要があると考えております。

SAML認証に関連するログの確認するのがよいかと考えておりますが、Azure Portal上のどの画面から確認するのがよいでしょうか。(Azure Power Shellの方がより細かなログが確認できるとうことであれば、そちらも合わせてご教示いただけると助かります)

回答

SAML 認証に関連するログにつきましては、当該アプリケーションのサインイン ログからご確認いただけます。

サインイン ログの確認方法につきまして、下記にてご案内いたします。

  1. [Azure Active Directory] > [エンタープライズ アプリケーション] > 当該アプリケーションを選択 > [サインイン ログ] と進みます。
  2. [許可された時刻] で期間を選択し、サインイン ログを確認します。

また、SAML によるシングル サインオンの認証の流れは下図のように進みます。

~~~ 抜粋 ~~~

次の図は、このプロトコルでのシングル サインオンのシーケンスを示したものです。 クラウド サービス (サービス プロバイダー) は、HTTP リダイレクト バインディングを使用して、 AuthnRequest (認証要求) 要素を Azure AD (ID プロバイダー) に渡します。 Azure AD は、HTTP POST バインディングを使用して、 Response 要素をクラウド サービスに送信します。

サインイン ログで成功と表示されているにも関わらずエラーが発生する場合、Azure AD での認証処理 (上図の 5 番まで) は正常に完了しており、 6 番以降のアプリケーション側で SAML レスポンスを検証するタイミングでエラーが発生していると考えられます。

一方、サインイン ログで失敗と表示される場合には Azure AD 観点での調査が可能です。

Entra

Posted by mitsuru