一般エラー
エラー・メッセージ: CSIAC6274E ポリシーが構成されているため、認証に失敗しました。
問題:Federatedユーザーにエラー"CSIAC6274EAuthentication failed due to configured policy "が発生する IBMid ログイン・プロセス中に、ターゲットの IBM アプリケーションにアクセスできません。
原因: CSIAC6274E は、ユーザーの構成済みポリシーの問題を示しています。 企業の ID プロバイダIdP管理者は、ここに記載されているIBMidEnterprise Federation サポート要件を満たすように、ユーザ属性の SAML クレームを確認し、構成する必要があるhttps://www.ibm.com/docs/en/ief?topic=welcome-requirements-sso
解決方法この問題をデバッグするには、ユーザは以下の手順でログイン処理中に SAMLResponse 値をキャプチャし、ブラウザで HAR ファイルを生成 https://help.salesforce.com/s/articleView?id=000385988&type=1
この問題をデバッグするには、ユーザは以下の手順を使用して、ログイン・プロセス中に SAMLResponse 値をキャプチャし、ブラウザで HAR ファイルを生成することが https://help.salesforce.com/s/articleView?id=000385988&type=1
取り込まれた HAR ファイルをテキスト・エディターで開き、「SAMLResponse」とその値を検索します。 Base64 ツールを使用して応答値をデコードします。
js
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
Destination="https://login.ibm.com/saml/sps/saml20sp/saml20/login" ... >
....
<saml:AttributeStatement>
<saml:Attribute Name="country"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xsi:type="xs:string">ca</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="emailAddress"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xsi:type="xs:string">user@company_email</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="firstName"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xsi:type="xs:string">FirstName</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute Name="lastName"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
<saml:AttributeValue xsi:type="xs:string">LastName</saml:AttributeValue>
</saml:Attribute>
.....
</saml:AttributeStatement>
</saml:Assertion>
</samlp:Response> - A) NameID は、 emailAddress としてフォーマット設定されます (組織の ID プロバイダー (IdP) は、組織のユーザーの E メール・アドレスと同じ有効な E メール・アドレスに設定する必要があります)。
- B) 以下のような正確な名前の属性が必要です (大/小文字の区別)。
- firstName
- lastName
- emailAddress
- 国
注: 国については、ISO Alpha-2 標準に従って 2 文字を受け取ることが期待されています。 (例: 米国の場合は US 、オーストラリアの場合は AU 、英国の場合は GB )。
エラー・メッセージ: CSIAC4572E ID プロバイダーで認証が失敗しました。
問題: フェデレーテッド・ユーザーがエラー “CSIAC4572E ID プロバイダーで認証に失敗しました」を受け取る。 IBMid ログイン・プロセス中に、ターゲットの IBM アプリケーションにアクセスできません。
原因: 認証応答メッセージに含まれている SAML 状況が、ID プロバイダーでの認証が失敗したことを示しています。
解決策: 応答メッセージを発行した ID プロバイダーのトレース・ログを調べて、認証操作が失敗した理由を確認してください。
エラー・メッセージ: CSIAC4566E partnerProvider によって発行されたアサーションを検証または暗号化解除できませんでした。
問題:Federated ユーザにエラー"CSIAC4566EThe assertion issued bypartnerProvidercould not be validated or decrypted" が発生する IBMid ログイン・プロセス中に、ターゲットの IBM アプリケーションにアクセスできません。
原因: アサーションを検証または暗号化解除できませんでした。 通常、無効な証明書または期限切れの証明書が原因で、 IBMまたは ID プロバイダー (IdP) 側の SAML SSO 署名または暗号化証明書に不一致があります。
解決策: 検証鍵、暗号化解除鍵、および暗号化解除パラメーターが、アサーションを発行したプロバイダーに対して正しく構成されていることを確認してください。 トレース・ログには、失敗した操作 (検証または暗号化解除) が示されます。 IBM および ID プロバイダー (IdP) で使用される SAML SSO 署名または暗号化証明書を検証します。
エラー・メッセージ: CSIAQ0287E トランザクションのアイドル時間が長すぎるため、システムは要求を処理できません。
問題: ユーザーがエラー “CSIAQ0287E トランザクションのアイドル時間が長すぎるため、システムは要求を処理できません。」を受け取ります。 IBMid ログイン・プロセス中に、ターゲットの IBM アプリケーションにアクセスできません。
- URL は無効です。
- ログイン Web ページは長時間アイドル状態です。
- IBMid ユーザーがアクセスしている保存済みブックマークのうち、Cookie の有効期限が切れているものがあります。
解決方法このエラーメッセージを修正するには、ログインWebページに表示されるものではなく、有効なアプリケーション URL。 新しいブラウザセッションで、 IBMid アカウントで認証してみてください。
エラー・メッセージ: CSIAC4568E SAML メッセージ署名を検証できませんでした。
問題: ユーザーがエラー “CSIAC4568E SAML メッセージ署名を検証できませんでした」を受け取る。 IBMid ログイン・プロセス中に、ターゲットの IBM アプリケーションにアクセスできません。
原因: SAML メッセージ・シグニチャーを検証できませんでした。 このエラーは、 IBMid または App ID が、SAML によって送信された署名を検証できない場合に発生します。
解決策: メッセージを送信したプロバイダーの妥当性検査キーが正しく構成されていることを確認してください。 App IDで、構成内でインバウンド署名が「なし」に設定されていることを確認します。
エラー・メッセージ: CSIAC5140E この保護リソースへのアクセスは許可されていません。
問題: ユーザーがエラー “CSIAC5140E この保護リソースへのアクセスを許可されていません。" IBMid ログイン・プロセス中に、ターゲットの IBM アプリケーションにアクセスできません。
原因: このリソースにアクセスできるのは、許可されたユーザーのみです。
解決策: 許可エンドポイントが正しく構成され、保護されていることを確認してください。
エラー・メッセージ: CSIAC6276E ユーザー・アカウントが無効です。
問題: ユーザーがエラー “CSIAC6276E ユーザー・アカウントが無効です」を受け取ります。 IBMid ログイン・プロセス中に、ターゲットの IBM アプリケーションにアクセスできません。
原因: 既存の IBMid ユーザー・アカウントが無効になっています。
解決方法: IBMidワールドワイドヘルプデスクサポートチームhttps://www.ibm.com/docs/en/ibmid?topic=welcome-contact-support までお問い合わせください。