24.3.10 sso02012

Interstage Application Server/Interstage Web Server メッセージ集

第2部メッセージラベルのあるメッセージ

> 第24章メッセージ番号がssoで始まるメッセージ

> 24.3 sso02000番台のメッセージ

24.3.10 sso02012

SSO: ERROR: sso02012: Invalid request was received. IPAddr=(%s1) Detail=(%s2) Code=(%s3)

SSO: エラー: sso02012: 不正な要求を受け付けました。 IPAddr=(%s1) Detail=(%s2) Code=(%s3)

［可変情報］
　%s1：要求元のIPアドレス、またはホスト名
　%s2：保守情報
　%s3：保守情報

［意味］
　Interstage シングル・サインオンの認証サーバが不正な要求を受け付けました。以下の原因が考えられます。

保守情報(%s2)によって以下の原因が考えられます。

保守情報(%s2)に含まれる文字列	原因
fj-is-sso-request	サインオフのURL、または前回サインオン日時の確認用のURLに誤りがあります。
Session management is not available.	セションの管理を行っていない環境で、サインオフ、または前回サインオン日時の要求を受け付けました。
Http is not accepted.	httpで運用している業務サーバからの要求を拒否しました。
COOKIE:fj-is-sso-skip-pre-signon:not available.	認証サーバと統合Windows認証アプリケーションの環境設定に不整合が発生しています。
Session invalid.	負荷分散を行っているシステムの場合、ロードバランサの設定に誤りがある可能性があります。ネットワークの負荷などが原因で処理に非常に時間がかかったため、不整合が発生した可能性があります。認証処理中にリポジトリサーバが再起動された可能性があります。利用者がWebブラウザの再読み込みなどを行い、formデータなどを再送した可能性があります。外部からの攻撃の可能性があります。

強制サインオン問い合わせページ、またはサインオフ問い合わせページ用のフォームタグの設定に誤りがあります。(注1)
利用者のブラウザがcookieを受け付けない設定になっています。
利用者がWebブラウザの再読み込みなどを行い、以前認証サーバに送信した情報(formデータなど)を再送した可能性があります。
認証サーバが利用者のWebブラウザにステータスコード500を返却した際に、利用者がWebブラウザを終了させずに、Webブラウザの再読み込みを実施した可能性があります。
Interstage シングル・サインオンの認証サーバの設定を変更した後に、変更前に操作していたWebブラウザで操作を行った可能性があります。
認証サーバの環境設定の[パスワード認証]の[ユーザID/パスワードの入力画面]にて、“基本認証ダイアログ”が選択されている状態で、利用者が以下の操作を行った可能性があります。
- フォーム認証ページのURLにアクセスしました。
- フォーム認証ページから認証を行いました。
フォーム認証ページの内容に誤りがあります。
利用者が指定したフォーム認証ページのURL(注2)に誤りがある可能性があります。
Webブラウザに表示するメッセージのカスタマイズを行っている場合は、インストール直後の状態で認証用のフォームタグが含まれていないメッセージファイルに、認証用のフォームタグを追加した状態で認証を行った可能性があります。
セションの管理を行っている場合、業務システム上のWebアプリケーションのページがフレームを使用している場合は、サインオフ用のリンクの設定に誤りがある可能性があります。
業務サーバの以下の未認証画面用メッセージファイル内に記述されている「」部分が変更されている可能性があります。
- 200postauth_ja.template、または403postauth_ja.template
- 200postauth_en.template、または403postauth_en.template
Interstage シングル・サインオンの業務サーバの環境に問題があります。
外部からの攻撃の可能性があります。

［ユーザの対処］
　以下の対処を行ってください。

本メッセージの直前にシステムのログが出力されている場合は、出力されているメッセージを確認してエラー原因を取り除いてください。

保守情報(%s2)を確認し、以下の対処を行ってください。

保守情報(%s2) に含まれる文字列	対処
fj-is-sso-request	サインオフのURL、または前回サインオン日時の確認用のURLに誤りがないか確認してください。(注3)(注4)
Session management is not available.	サインオフ、または前回サインオン日時の要求は行わないでください。サインオフ、前回サインオン日時の通知を行う場合は、セションの管理を行う設定に変更してください。(注5)
Http is not accepted.	要求元のIPアドレス、またはホスト名(%s1)に表示された業務サーバの管理者に、業務サーバをhttpsで運用するように指導してください。業務サーバをhttpsで運用している場合は、業務システムの公開URLが誤っている可能性があります。業務サーバ管理者に、[業務システムの情報]の[公開URL]がhttpsであるか、確認を依頼してください。(注6) httpで運用している業務サーバをhttpsで運用するように変更する場合、または[業務システムの情報]の[公開URL]に誤りがあった場合は、業務サーバをいったん削除し、構築しなおしてください。業務サーバをhttpのままで運用する場合は、認証サーバの環境設定の[業務システムとの通信の設定]の[HTTP通信]を“許可する”に変更し、認証サーバをいったん停止して再度起動してください。(注7) セキュリティ上の脅威および対策については、“セキュリティシステム運用ガイド”を参照してください。
COOKIE:fj-is-sso-skip-pre-signon:not available.	Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定] > [詳細設定[表示]] > [統合Windows認証の設定] > [認証取り消し時の動作]を再設定し、認証サーバと統合Windows認証アプリケーションを再起動してください。(注7)(注8)
Session invalid.	負荷分散を行っているシステムの場合は、ロードバランサの設定に誤りがないか確認してください。(注9) 利用者にWebブラウザを終了し再度起動し、再度アクセスするよう指導してください。要求元のIPアドレス、またはホスト名(%s1)をもとに攻撃の可能性を調査してください。

強制サインオン問い合わせページ、またはサインオフ問い合わせページ用のフォームタグの設定に誤りがないか確認してください。(注1)

　上記以外の場合は、以下の手順で対処を行ってください。

利用者のWebブラウザがcookieを受け付けない設定となっていないか確認してください。
利用者のWebブラウザがcookieを受け付ける設定となっていた場合は、利用者が以下の条件に一致する操作を行っていないか確認してください。以下の条件に合致する場合には、利用者にWebブラウザを終了し再度起動し、再度アクセスするよう指導してください。
- Webブラウザの再読み込みなどを行い、以前認証サーバに送信した情報(formデータなど)を再送した場合。
- Webサーバから通知されるステータスコードが500であった状態で、Webブラウザを終了させずに、Webブラウザの再読み込みを行った場合。
- Interstage シングル・サインオンの認証サーバの設定を変更した後に、変更前に操作を行っていたWebブラウザから操作を行った場合。
2.で利用者の操作が条件に一致しない場合で、フォーム認証ページを使用した認証を行う場合には、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[パスワード認証]の[ユーザID/パスワードの入力画面]にて“フォーム認証ページ”を選択してください。Webブラウザの基本認証ダイアログを使用して認証を行う場合には、利用者に業務システムの公開URLよりアクセスするように指導してください。また、利用者がフォーム認証ページから認証を行った場合は、Webブラウザを終了し再度起動し、業務システムの公開URLより再度アクセスするよう指導してください。
3.で認証サーバの環境設定にて“フォーム認証ページ”が選択されている場合には、フォーム認証ページの内容に誤りがないか確認してください。(注10)
フォーム認証ページの内容に誤りがない場合は、利用者が指定したフォーム認証ページのURL(注2)に誤りがないか確認してください。
Webブラウザに表示するメッセージのカスタマイズを行っている場合は、インストール直後の状態で認証用のフォームタグが含まれていないメッセージファイルに、認証用のフォームタグを追加していないか確認してください。(注11)
セションの管理を行っている場合、業務システム上のWebアプリケーションのページがフレームを使用している場合は、サインオフ用のリンクの設定に誤りがないか確認してください。(注12)
業務サーバ管理者に、以下の未認証画面用メッセージファイルの「」部分が変更されていないか確認してください。変更されている場合は、「」部分を正しく記述するよう業務サーバ管理者に依頼してください。(注13)
- 200postauth_ja.template、または403postauth_ja.template
- 200postauth_en.template、または403postauth_en.template
上記以外の場合、外部からの攻撃の可能性があります。要求元のIPアドレス、またはホスト名(%s1)をもとに攻撃の可能性を調査してください。

注1)強制サインオン問い合わせページのフォームタグについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”－“Webブラウザに表示するメッセージのカスタマイズ”－“強制サインオン問い合わせページ用フォームタグの仕様”を参照してください。また、サインオフ問い合わせページのフォームタグについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”－“Webブラウザに表示するメッセージのカスタマイズ”－“サインオフ問い合わせページ用フォームタグの仕様”を参照してください。

注2)フォーム認証ページのURLについては、“シングル・サインオン運用ガイド”の“概要”－“認証”－“パスワード認証と証明書認証”を参照してください。

注3)サインオフのURLについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”－“サインオフするためのWebページのカスタマイズ”を参照してください。

注4)前回サインオン日時の確認用のURLについては、“シングル・サインオン運用ガイド”の“運用・保守”－“利用者に関する操作”－“前回サインオン日時の確認”を参照してください。

注5)セションの管理を行う運用への移行については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”－“セションの管理を行う運用への移行について”を参照してください。

注6)業務システムがhttpsで運用しているかどうかの確認については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[業務システムの情報]の[公開URL]で行います。

注7)認証サーバの停止については“シングル・サインオン運用ガイド”の“運用・保守”－“シングル・サインオンの停止”－“認証サーバの停止”を参照してください。認証サーバの起動については“シングル・サインオン運用ガイド”の“運用・保守”－“シングル・サインオンの起動”－“認証サーバの起動”を参照してください。

注8)統合Windows認証アプリケーションの停止については“シングル・サインオン運用ガイド”の“運用・保守”－“シングル・サインオンの停止”－“認証サーバの停止”を参照してください。統合Windows認証アプリケーションの起動については“シングル・サインオン運用ガイド”の“運用・保守”－“シングル・サインオンの起動”－“認証サーバの起動”を参照してください。

注9)ロードバランサの設定については、“シングル・サインオン運用ガイド”の“ロードバランサの設定”を参照してください。

注10)フォーム認証ページのカスタマイズ方法については、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”－“Webブラウザに表示するメッセージのカスタマイズ”を参照してください。

注11)Webブラウザに表示するメッセージのカスタマイズについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”－“Webブラウザに表示するメッセージのカスタマイズ”－“カスタマイズできるメッセージ”を参照してください。

注12)サインオフ用のリンクの設定方法については、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”－“サインオフするためのWebページのカスタマイズ”－“Webページのカスタマイズ方法”を参照してください。

注13)未認証画面用メッセージファイルのカスタマイズについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”－“Webブラウザに表示するメッセージのカスタマイズ”－“未認証画面用タグの仕様”を参照してください。