モバイル・シングル・サインオン (SSO) エラーのトラブルシューティング

オンラインで編集

ユーザーがモバイル・デバイスからアプリケーションにシングル・サインオンするときに何らかのエラーが発生する場合があります。 エラーを認識して切り分け、解決します。 解決するには、管理者の支援が必要な場合があります。 また、管理者は推奨されるリカバリー・アクションを調べることもできます。

次の原因により、認証要求が失敗する場合があります。

デバイスに正しい MDM ポリシーがありません。

説明

お使いのモバイルデバイス上のMDMプロファイルには MaaS360® 、シングルサインオン(SSO)アカウントが登録されていません。

ユーザー・アクション
エラーメッセージが表示されたらCSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.以下の手順に従って、お使いのモバイルデバイスに正しいMDMポリシーが適用されているか確認してください:
  1. お使いのモバイル端末のMDMプロファイル MaaS360 を確認してください。
  2. 「一般」設定を開き、「シングル・サインオン・アカウント (SINGLE SIGN-ON ACCOUNT)」を確認します。
  3. アカウントを開きます。 アカウントには、次の情報が含まれている必要があります。
    プリンシパル名

    ユーザー認証時に読み取られるユーザー属性です。 にある形式に従った値が含まれている必要があります。

    レルム

    認証に必要なサービス情報です。 にある形式に従った値が含まれている必要があります。

    URL 接頭部の一致 (URL PREFIX MATCHES)

    必ず URL を Verify 記載してください。 例えば、 https://<host name>.verify.ibm.comなどです。

    有資格アプリケーション ID (ELIGIBLE APP IDS)

    管理者が MDM ポリシーの許可リストに含めたアプリケーションのバンドル ID がリストされます。 ユーザーがサインオンしようとしているアプリケーションがここにリストされている必要があります。

    例:
    MaaS360 MDMプロファイル

指定したパラメーターと共にシングル・サインオン・アカウントが表示されない場合は、管理者に連絡してさらなる支援を受けてください。

管理者の処置
さらにサポートが必要な場合は、サポートチームまで MaaS360 ご連絡ください。 サポート・チームに以下の情報を提供しなければならない場合があります。
  • シングル・サインオン・アカウントおよび証明書の画面キャプチャー。
  • iOS デバイスのコンソールログ、またはAndroidデバイスのエージェントログ MaaS360 。 これらのログの入手方法については、サポート・チームがガイドします。

証明書が破損しています。

説明

証明書が破損しています。 ポータル MaaS360 から生成された証明書にエラーがあるか、あるいは認証局(CA)に MaaS360 問題がある可能性があります。

ユーザー・アクション
証明書ラベルが無効になっている場合、またはエラーメッセージが表示された場合はCSIAH1502E Please make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.以下の手順に従って、証明書が破損していないか確認してください:
  1. お使いのモバイル端末のMDMプロファイル MaaS360 を確認してください。
  2. 一般 」設定を開きます。
  3. 「証明書 (CERTIFICATE)」の下で、証明書が MaaS360GATEWAYCA [M1/M2/M3/M4/M5/M6] によって発行されていることを確認します。
    例:
    MaaS360 MDMプロファイル
  4. 証明書をタップします。
  5. 「拡張キー使用 (EXTENDED KEY USAGE)」の下で、「目的 (Purpose)」「Kerberos クライアント認証 (Kerberos Client Authentication)」であることを確認します。
    例:
    MaaS360 MDMプロファイル

証明書が MaaS360GATEWAYCA によって発行されておらず、「目的 (Purpose)」「Kerberos クライアント認証 (Kerberos Client Authentication)」に設定されていない場合には、管理者に連絡してさらなる支援を受けてください。

管理者の処置
さらにサポートが必要な場合は、サポートチームまで MaaS360 ご連絡ください。 サポート・チームに以下の情報を提供しなければならない場合があります。
  • シングル・サインオン・アカウントおよび証明書の画面キャプチャー。
  • iOS デバイスのコンソールログ、またはAndroidデバイスのエージェントログ MaaS360 。 これらのログの入手方法については、サポート・チームがガイドします。

証明書の有効期限が切れています。

説明

デバイス上の証明書の期限が切れており、新しい証明書がデバイスに発行されていません。

ユーザー・アクション
証明書ラベルが無効である場合、または証明書の期限が切れているというプロンプトが出された場合は、以下の手順に従って、有効期限日付を確認します。
  1. お使いのモバイル端末のMDMプロファイル MaaS360 を確認してください。
  2. 一般 」設定を開きます。
  3. 「証明書 (CERTIFICATE)」の下で、証明書が MaaS360GATEWAYCA によって発行されていることを確認します。
    例:
    MaaS360 MDMプロファイル
  4. 証明書をタップして、有効期限日付を確認します。 例:

証明書の期限が既に切れている場合は、管理者に連絡してさらなる支援を受けてください。

管理者の処置
さらにサポートが必要な場合は、サポートチームまで MaaS360 ご連絡ください。 サポート・チームに以下の情報を提供しなければならない場合があります。
  • シングル・サインオン・アカウントおよび証明書の画面キャプチャー。
  • iOS デバイスのコンソールログ、またはAndroidデバイスのエージェントログ MaaS360 。 これらのログの入手方法については、サポート・チームがガイドします。

アプリケーションが、許可リストに登録済みのアプリケーションに属していません。

説明

デバイス上で発行された MDM ポリシーにおいて、シングル・サインオンおよび管理対象デバイスへの条件付きアクセスを使用できるアプリケーションのリストに、ターゲット・アプリケーションが含まれていません。

ユーザー・アクション
エラーメッセージが表示されたらCSIAH1502E Make sure that your device is enrolled in MaaS360 and has a valid client certificate. Contact your IT administrator for help.以下の手順に従って、アプリケーションがシングルサインオンを利用できるかどうかを確認してください:
  1. お使いのモバイル端末のMDMプロファイル MaaS360 を確認してください。
  2. 一般 」設定を開きます。
  3. シングル・サインオン・アカウントを開きます。
  4. ターゲット・アプリケーションの ID が「有資格アプリケーション ID (ELIGIBLE APP IDS)」の下にリストされていることを確認します。
    例:
    MaaS360 MDMプロファイル

アプリケーションに資格がない場合は、管理者に連絡してさらなる支援を受けてください。

管理者の処置
管理者として、ポータルに MaaS360 アクセスし、シングルサインオンおよび条件付きアクセスのために、MDMポリシー内で当該アプリを許可リストに登録してください。 以下の手順に従います。
  • iOS のMDMポリシーで、 「詳細設定 」>「 SSO条件付きアクセス」 に移動します。 アプリケーション名を部分的に入力すると、ワークフローによって自動的にポリシー情報が入力されます。
  • AndroidのMDMポリシーで、 「シングルサインオン設定 」>「 SSO条件付きアクセス」 に移動します。 アプリケーション名を部分的に入力すると、ワークフローによって自動的にポリシー情報が入力されます。
例:
MaaS360 MDMプロファイル

MDM ポリシーと共にプッシュされる証明書をデバイスが受信しませんでした。

説明

デバイスのポリシーまたは証明書ジェネレーターが MaaS バックエンドで失敗したか、MaaS で MDM ポリシーを取得する際にデバイスがオンラインになっていませんでした。

ユーザー・アクション
デバイスが証明書を受信したかどうかを確認するには、以下の手順に従います。
  1. お使いのモバイル端末のMDMプロファイル MaaS360 を確認してください。
  2. 「一般」設定を開き、「シングル・サインオン・アカウント (SINGLE SIGN-ON ACCOUNT)」を確認します。
  3. 「証明書 (CERTIFICATE)」の下で、証明書が MaaS360GATEWAYCA によって発行されていることを確認します。
    例:
    MaaS360 MDMプロファイル

プロファイルにシングル・サインオン・アカウントも有効な証明書もない場合は、管理者に連絡してさらなる支援を受けてください。

管理者の処置

デバイスのビューで、デバイスの「証明書」タブに SSO 証明書があることを確認します。

例:
MaaS360 MDMプロファイル

iOS デバイスは、別のユーザーとして MaaS360 再登録されましたが、デバイスは再起動されませんでした。

説明

シングル・サインオン (SSO) ペイロードは、管理対象デバイス上のアプリケーションに対するアクセス権を付与するために、Kerberos SSO を使用してユーザーの資格情報を 1 回だけ認証します。

MaaS360 管理対象デバイスにSSOペイロードを自動的に送信します。 ペイロードには、シングル・サインオンを使用するアプリケーションのリストが含まれています。 また、SSO ペイロードには、認証に必要な Kerberos レルムまたはサービス情報も含まれています。

MaaS360 また、 MaaS360 の認証局(CA)からデバイスに対して識別証明書を発行します。 VerifyプロビジョニングされたID証明書は、デバイスを.に対して認証するために使用されます。 証明書は、ユーザーおよびデバイスに対して固有です。

ユーザー・アクション
登録されたモバイル・デバイスの新しい所有者としてデバイスを再始動してから、モバイル・アプリケーションへシングル・サインオンします。 デバイスを再始動すると、管理対象デバイスに自動的にデプロイされる SSO ペイロードと ID 証明書がリフレッシュされます。
管理者の処置

なし。