Interstage Application Server/Interstage Web Server メッセージ集

目次

50.1.2.1 認証サーバのアクセスログの補足情報

◆処理結果がfailedの場合に出力される補足情報

補足情報の一覧

1. Access-token disagreement.
2. Already authenticated.
3. Authentication by certificate is required.
4. Authentication by ID and password is required.
5. Authentication is processing.
6. Authentication required.
7. Authentication type mismatch.(no certificate)
8. Authentication type mismatch.(no user's ID/password)
9. Credential can not be decrypted.
10. Credential is invalid.
11. Credential is not found.
12. Credential is not found. Error was notified to Authentication server Federation service.
13. Credential is too large.
14. Error is in user information.
15. Error was notified from Authentication server Federation service.
16. Failed in Sign-off from the Partner Single Sign-on system of non session management.
17. Failed to decrypt the request data.
18. Forced Sign-on request was canceled.
19. Information for the client connection is not the same.
20. Internal error.
21. Internal error occurred in repository server.
22. No entry for reference into certificate.
23. Pre Sign-on application failed.
24. Pre Sign-on application was called.
25. Query about forced Sign-on.
26. Reload detected.
27. Request data is broken.
28. Request data was invalid.
29. Session expired.
30. Session expired. Failed in Sign-off from the Partner Single Sign-on system of non session management. Error was notified to Authentication server Federation service.
31. Session information is in another location.
32. Session information was not found.
33. Session management is not available. Error was notified to Authentication server Federation service.
34. Session timed out.
35. Sign-off was canceled.
36. Sign-on was not performed.
37. The user ID is already signed on.
38. Time limit of credential is over.
39. User certificate has expired.
40. User entry can not be specified.
41. User ID and password do not exist.
42. User is invalid.
43. User's certificate is revoked.
44. User's certificate not supported.
45. User's ID/password and certificate do not exist.
46. User was already locked.
47. User was locked.
48. Violation request from Authentication server Federation service.
49. Violation request from Authentication server Federation service. Error was notified to Authentication server Federation service.
50. Violation request of specification.

意味、およびユーザの対処

Access-token disagreement.

［意味］
　業務サーバから掲示された認証情報が古かったため、最新の認証情報を返却し直しました。

Already authenticated.

［意味］
　以下の原因が考えられます。

• すでに認証が行われたブラウザを使用して、フォーム認証ページに直接アクセスしました。
• Interstage シングル・サインオンの業務サーバ、認証サーバ、リポジトリサーバのシステム時刻が同期していない可能性があります。

［ユーザの対処］
　以下の対処を行ってください。

• 保護リソースに直接アクセスしてください。
• 別のユーザID／パスワードで運用を行う場合には、ブラウザを閉じて、再度ユーザID／パスワードを入力して認証し直してください。
• Interstage シングル・サインオンの業務サーバ、認証サーバ、リポジトリサーバのシステム時刻を同期させてください。

Authentication by certificate is required.

［意味］
　ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。

　証明書による認証が必要です。以下の原因が考えられます。

• 証明書による認証が必要ですが、利用者によって、証明書が提示されませんでした。
• 利用者が正しい証明書を提示している場合は、以下の原因が考えられます。
  • 提示された証明書からSSOリポジトリのユーザ情報を特定できませんでした。
  • SSOリポジトリのユーザ情報の作成時にオブジェクトクラス“ssoUser”を指定していない可能性があります。
  • 利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっています。

［ユーザの対処］
　以下の対処を行ってください。

• 利用者が証明書を提示していない場合
  • ブラウザを終了し再度起動して証明書を選択してください。証明書がブラウザに登録されていない場合は、証明書を入手しブラウザに登録してください。
• 利用者が正しい証明書を提示している場合
  • 利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリで一意な情報であるかを確認してください。[認証に使用する属性]が一意な情報でない場合、SSOリポジトリを操作して、一意な情報になるようにユーザ情報を変更してください。(注1)(注4)
  • SSOリポジトリのユーザ情報作成時にオブジェクトクラス“ssoUser”を設定しているかを確認してください。(注2)(注4)
  • SSOリポジトリに証明書が登録されているか、または利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっていないかを確認してください。(注3)

注1)[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。

注2)SSOリポジトリへのユーザ情報の登録については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“リポジトリサーバの構築”−“SSOリポジトリへのユーザ情報、ロール定義の登録”を参照してください。

注3)V5.xより本バージョンに移行した場合、認証サーバの定義ファイルの「certificate-identification」が“YES”に設定されている可能性があります。本設定が“YES”の場合、利用者が提示した証明書とSSOリポジトリに登録されている証明書の比較が行われます。

注4)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。

Authentication by ID and password is required.

［意味］
　ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。

　パスワード認証が必要です。以下の原因が考えられます。

• 利用者が提示した証明書の認証に失敗しました。または、利用者が提示した証明書の[認証に使用する属性]が、SSOリポジトリに重複して登録されています。(注1)
• 証明書認証に成功しましたが、加えてパスワード認証が必要です。
• 指定したユーザID／パスワードが正しくありません。または、利用者が入力したユーザIDが、SSOリポジトリに重複して登録されています。
• 利用者が入力したユーザIDに不正な文字が含まれています。
• 利用者が入力したユーザIDに対応するSSOリポジトリのユーザ情報にパスワードが設定されていません。
• 利用者が入力したユーザIDで特定されたエントリと、利用者が提示した証明書に含まれる[認証に使用する属性]で特定されたエントリが、SSOリポジトリで一致していません。(注1)
• [ユーザ情報の登録先エントリ]が正しくありません。(注3)
• SSOリポジトリのユーザ情報作成時に、オブジェクトクラス“ssoUser”を設定していない可能性があります。
• 利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっています。

［ユーザの対処］
　利用者が正しい証明書、またはユーザID／パスワードを指定しているにもかかわらず本メッセージが出力される場合は、以下の対処を行ってください。

• 利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリで一意な情報であるかを確認してください。(注1)
  [認証に使用する属性]が一意な情報でない場合、SSOリポジトリを操作して、一意な情報になるようにユーザ情報を変更してください。(注7)
• パスワード認証も必要な場合は、パスワード認証を行ってください。
• 利用者が入力した識別情報(ユーザID)が、SSOリポジトリで一意な情報であるかを確認してください。識別情報(ユーザID)が一意な情報でない場合は、SSOリポジトリのユーザ情報を変更してください。(注2)(注7)
• Webブラウザに入力するユーザIDには、SSOリポジトリのユーザ情報のユーザID属性“uid”に設定可能な文字を使用してください。(注6)
• 利用者が入力した識別情報(ユーザID)に対応するSSOリポジトリのユーザ情報に、パスワード属性“userPassword”の値が設定されているか確認してください。(注2)(注4)(注7)
• 利用者が入力した識別情報(ユーザID)と利用者が提示した証明書に含まれる[認証に使用する属性]が、同一の利用者を示すものかを確認してください。(注1)(注2)
• SSOリポジトリにユーザ情報が登録されている場合は、SSOリポジトリの[ユーザ情報の登録先エントリ]が正しく設定されているかを確認してください。(注3)
• SSOリポジトリのユーザ情報作成時にオブジェクトクラス“ssoUser”を設定しているかを確認してください。(注4)(注7)
• SSOリポジトリに証明書が登録されているか、または利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっていないかを確認してください。(注5)

注1)[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。

注2)V5.xより本バージョンに移行した場合、リポジトリサーバの定義ファイルの「alternative-uid-attribute」に“uid”以外の属性名が設定されている可能性があります。本設定が“uid”以外の場合、設定されている属性名が利用者の識別情報として使用されます。

注3)[ユーザ情報の登録先エントリ]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ]、または[リポジトリサーバ(参照系)] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]、または[詳細設定[表示]]をクリックし、[リポジトリ]を参照してください。

注4)SSOリポジトリへのユーザ情報の登録については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“リポジトリサーバの構築”−“SSOリポジトリへのユーザ情報、ロール定義の登録”を参照してください。

注5)V5.xより本バージョンに移行した場合、認証サーバの定義ファイルの「certificate-identification」が“YES”に設定されている可能性があります。本設定が“YES”の場合、利用者が提示した証明書とSSOリポジトリに登録されている証明書の比較が行われます。

注6)SSOリポジトリのユーザ情報に設定可能な文字種については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“リポジトリサーバの構築”−“SSOリポジトリへのユーザ情報、ロール定義の登録”−“ユーザ情報のエントリ”を参照してください。

注7)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。

Authentication is processing.

［意味］
　ブラウザにフォーム認証ページが表示されてから認証操作が終了するまでの間に、保護リソースにアクセスを行いました。

［ユーザの対処］

• Webブラウザの別のフレームにて認証操作を行っている場合には、そのフレームにて認証操作を行ったあとで、再度アクセスしてください。
• Webブラウザの別のフレームにて認証操作を行っていない場合には、フォーム認証ページに直接アクセスし、認証操作を行ってください。

Authentication required.

［意味］
　Interstage シングル・サインオンの業務サーバからの再認証要求を受け付けました。

［ユーザの対処］
　ユーザID／パスワードを入力して、再認証を行ってください。

Authentication type mismatch.(no certificate)

［意味］
　ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。

　認証方式が一致していません。以下の原因が考えられます。

• SSOリポジトリのユーザ情報に設定した認証方式では証明書による認証が必要ですが、利用者から証明書が提示されませんでした。

［ユーザの対処］
　SSOリポジトリに設定したユーザ情報の認証方式と利用者が行った認証方式を確認し、証明書による認証を行ってください。(注1)(注2)

注1)利用者の認証方式については、SSOリポジトリのユーザ情報に設定した「ssoAuthType」(認証方式)を確認してください。

注2)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。

Authentication type mismatch.(no user's ID/password)

［意味］
　ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。

　SSOリポジトリのユーザ情報に設定した認証方式にはパスワード認証が必要ですが、利用者からユーザ名／パスワードが提示されませんでした。

［ユーザの対処］
　SSOリポジトリに設定したユーザ情報の認証方式と利用者が行った認証方式を確認し、パスワード認証を行ってください。(注1)(注2)(注3)

注1)利用者の認証方式については、SSOリポジトリのユーザ情報に設定した「ssoAuthType」(認証方式)を確認してください。

注2)SSOリポジトリのユーザ情報に設定した「ssoAuthType」が“basicAuthAndCertAuth”の場合には、必ず当メッセージがアクセスログに記録されます。ユーザの対処は必要ありません。

注3)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。

Credential can not be decrypted.

［意味］
　認証情報の復号に失敗しました。以下の原因が考えられます。

• クライアントとInterstage シングル・サインオンの認証サーバの通信で異常が発生しました。
• 異なる認証基盤と通信しているInterstage シングル・サインオンの業務サーバが存在しています。
• 外部からの攻撃の可能性があります。

［ユーザの対処］
　以下の対処を行ってください。

• 通信経路に問題がある可能性があります。クライアントと認証サーバ間で正常に通信を行える環境であるか、ネットワーク管理者に問い合わせてください。
• 異なる認証基盤と通信しているInterstage シングル・サインオンの業務サーバが存在していないかを確認してください。存在している場合は、業務サーバ管理者に業務サーバの認証基盤の情報を確認するよう依頼してください。(注1)
  設定に問題がある場合は、業務サーバの再構築を行うよう依頼してください。(注2)
• 外部からの攻撃の可能性を調査してください。

注1)[認証基盤の情報]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]を参照してください。

注2)業務サーバの再構築については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [一覧]タブにより業務サーバを削除してから、[業務サーバの追加]タブにより業務サーバを追加してください。

Credential is invalid.

［意味］
　認証情報は有効ではありません。

［ユーザの対処］
　ユーザID／パスワードを入力して、再認証を行ってください。

Credential is not found.

［意味］
　認証情報が存在しないため、サインオフが完了していない可能性があります。以下の原因が考えられます。

• 以前、サインオフを行った際に、相手シングル・サインオンシステムでサインオフに失敗し、その状態でWebブラウザを閉じずに操作を継続した可能性があります。
• Webブラウザに保持できるCookieの上限を超えたため、Interstage シングル・サインオンの処理に必要なCookieが削除された可能性があります。

［ユーザの対処］
　以下の対処を行ってください。

• Webブラウザを閉じてください。複数起動している場合は、すべてのWebブラウザを閉じてください。
• 認証サーバと同一ホスト名、またはドメインで運用されているWebアプリケーションなどで、大量のCookieを発行しているものがないか確認してください。該当するWebアプリケーションがあった場合は、Cookieの発行量を減らすか、認証サーバと異なるホスト名、またはドメインで運用するようにしてください。

Credential is not found. Error was notified to Authentication server Federation service.

［意味］
　認証情報が存在しないため、サインオフを継続できませんでした。認証サーバ間連携サービスにエラーを通知しました。
　以下の原因が考えられます。

• 以前、サインオフを行った際に、相手シングル・サインオンシステムでサインオフに失敗し、その状態でWebブラウザを閉じずに操作を継続した可能性があります。
• Webブラウザに保持できるCookieの上限を超えたため、Interstage シングル・サインオンの処理に必要なCookieが削除された可能性があります。

［ユーザの対処］
　以下の対処を行ってください。

• Webブラウザを閉じてください。複数起動している場合は、すべてのWebブラウザを閉じてください。
• 認証サーバと同一ホスト名、またはドメインで運用されているWebアプリケーションなどで、大量のCookieを発行しているものがないか確認してください。該当するWebアプリケーションがあった場合は、Cookieの発行量を減らすか、認証サーバと異なるホスト名、またはドメインで運用するようにしてください。

Credential is too large.

［意味］
　認証情報のサイズが上限に達したため、認証情報の生成に失敗しました。

［ユーザの対処］
　システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。

Error is in user information.

［意味］
　SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)のユーザ情報に規定外の値が登録されています。

［ユーザの対処］
　SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)のユーザ情報の値を確認してください。

Error was notified from Authentication server Federation service.

［意味］
　認証サーバ間連携サービスからエラーが通知されました。

［ユーザの対処］
　以下の対処を行ってください。

• システムのログが出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
• Webブラウザにメッセージが表示されている場合は、メッセージに対する対処を参考に対処を行ってください。

Failed in Sign-off from the Partner Single Sign-on system of non session management.

［意味］
　セションの管理を行っていない相手シングル・サインオンシステムでサインオフに失敗した可能性があります。

［ユーザの対処］
　Webブラウザを閉じてください。複数起動している場合は、すべてのWebブラウザを閉じてください。

Failed to decrypt the request data.

［意味］
　要求データの復号に失敗しました。

［ユーザの対処］
　システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。

Forced Sign-on request was canceled.

［意味］
　利用者が、強制サインオンを取り消しました。

Information for the client connection is not the same.

［意味］
　クライアントのIPアドレスと、要求データに記録したIPアドレスが一致しません。

［ユーザの対処］
　再度、サインオン操作をやり直してください。

Internal error.

［意味］
　内部異常が発生しました。

［ユーザの対処］
　システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。

Internal error occurred in repository server.

［意味］
　Interstage シングル・サインオンのリポジトリサーバで内部異常が発生しました。

［ユーザの対処］
　アクセスログの「リポジトリサーバのIPアドレス」で表示されたInterstage シングル・サインオンのリポジトリサーバのアクセスログおよびシステムのログを参照して、必要な対処を行ってください。

No entry for reference into certificate.

［意味］
　証明書に利用者を特定する情報が含まれていません。

［ユーザの対処］
　Interstage シングル・サインオンの認証サーバで設定した[認証に使用する属性]が証明書に含まれているかを確認してください。
　証明書に[認証に使用する属性]が含まれていない場合、必要であれば、利用者に証明書の再取得を依頼してください。

　[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。

Pre Sign-on application failed.

［意味］
　統合Windows認証の認証処理で失敗しました。

［ユーザの対処］
　SSOリポジトリとActive Directoryが正しく関連付けられているか確認し直してください。SSOリポジトリとActive Directoryの関連付けについては、“シングル・サインオン運用ガイド”の“Active Directoryと連携するための設定”を参照してください。
　上記設定に問題がない場合は、リポジトリサーバのアクセスログを参照してください。

Pre Sign-on application was called.

［意味］
　統合Windows認証の操作の途中で、保護リソース、または認証基盤のURLにアクセスされたため、統合Windows認証のサーブレットを呼び出し直しました。

Query about forced Sign-on.

［意味］
　利用者が強制サインオンの問合せ操作の途中で、保護リソースにアクセスを行いましたので、改めて利用者に強制サインオンを問い合わせました。

Reload detected.

［意味］
　以下の原因が考えられます。

• ブラウザのリロードを検出したため、再認証を要求しました。
• Internet Explorerの基本認証ダイアログに対してキャンセルで応答したため、続けて表示される基本認証ダイアログによる認証が失敗しました。

［ユーザの対処］
　以下の対処を行ってください。

• ユーザID／パスワードを入力して、再認証を行ってください。
• 続けて表示される基本認証ダイアログに再度、正しいユーザID／パスワードを入力して認証を行ってください。

Request data is broken.

［意味］
　破損した要求データを受け付けました。

［ユーザの対処］
　システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。

Request data was invalid.

［意味］
　要求データの値の解釈に失敗しました。

［ユーザの対処］
　システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。

Session expired.

［意味］
　セションの有効期限が切れました。

［ユーザの対処］
　再度、サインオン操作をやり直してください。

Session expired. Failed in Sign-off from the Partner Single Sign-on system of non session management. Error was notified to Authentication server Federation service.

［意味］
　セション情報が見つかりませんでした。エラーを認証サーバ間連携サービスに通知しました。
　セションの管理を行っていない相手シングル・サインオンシステムからのサインオフに失敗した可能性があります。

［ユーザの対処］
　Webブラウザを閉じてください。複数起動している場合は、すべてのWebブラウザを閉じてください。

Session information is in another location.

［意味］
　他のマシンでサインオン中のためリダイレクトしました。

Session information was not found.

［意味］
　セション情報が存在しないため、サインオフを継続できませんでした。

［ユーザの対処］
　Webブラウザにメッセージが表示されている場合は、メッセージに対する対処を参考に対処を行ってください。

Session management is not available. Error was notified to Authentication server Federation service.

［意味］
　セションの管理を行っていないため、シングル・サインオンシステムに対してサインオフ要求を行いましたが、サインオフできませんでした。認証サーバ間連携サービスにエラーを通知しました。

［ユーザの対処］
　システムのログが出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。

Session timed out.

［意味］
　アイドル監視でタイムアウトが発生しました。

［ユーザの対処］
　再度、サインオン操作をやり直してください。

Sign-off was canceled.

［意味］
　利用者がサインオフ問い合わせ画面で、サインオフの取り消しを選択しました。

Sign-on was not performed.

［意味］
　サインオンされていないため、要求された操作を実施できませんでした。

［ユーザの対処］
　必要に応じて、サインオンしてください。

The user ID is already signed on.

［意味］
　利用者の提示したユーザIDは、すでにサインオンしています。

［ユーザの対処］
　以下の対処を行ってください。

• 他のブラウザで認証済みの場合は、該当ブラウザでサインオフを行ってください。
• 他のブラウザで認証を行っていない場合は、業務サーバ管理者に問い合わせてください。

Time limit of credential is over.

［意味］
　ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。

　以下の原因が考えられます。

• 再認証の間隔に設定した時間が経過しています。
• SSOリポジトリに登録されているユーザ情報の有効期間が過ぎています。

［ユーザの対処］
　以下の対処を行ってください。

• ユーザID／パスワードを入力して、再認証を行ってください。
• SSOリポジトリのユーザ情報に設定した有効期間を確認してください。必要であれば利用者を特定し、有効期間を変更してください。(注1)(注2)

注1)利用者の有効期間の確認、変更については、“シングル・サインオン運用ガイド”の“運用・保守”−“利用者に関する操作”−“利用者の有効期間の確認、変更”を参照してください。

注2)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。

User certificate has expired.

［意味］
　証明書の有効期間が切れています。

［ユーザの対処］
　SSO管理者は、ユーザ識別情報を元に有効期間が切れている証明書の所有者である利用者を特定し、必要に応じて、以下の対処を行ってください。

1. 利用者の証明書を再取得します。
2. 取得した利用者の証明書を、SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)に登録します。
3. 新たに取得した証明書を利用者に渡し、利用者のWebブラウザに登録するよう指示します。

User entry can not be specified.

［意味］
　ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。

　SSOリポジトリのユーザ情報を特定できません。以下の原因が考えられます。

• 利用者が入力したユーザIDがSSOリポジトリに重複して登録されています。
• 利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリに重複して登録されています。
• 利用者が入力したユーザIDで特定されたエントリと、利用者が提示した証明書に含まれる[認証に使用する属性]で特定されたエントリが、SSOリポジトリで一致していません。

［ユーザの対処］
　以下の対処を行ってください。

• 利用者が入力した識別情報(ユーザID)が、SSOリポジトリで一意な情報であるかを確認してください。識別情報(ユーザID)が一意な情報でない場合は、SSOリポジトリを操作して、一意な情報になるようにユーザ情報を変更してください。(注1)(注2)(注4)
• 利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリで一意な情報であるかを確認してください。(注1)(注3)(注4)
  [認証に使用する属性]が一意な情報でない場合、SSOリポジトリを操作して、一意な情報になるようにユーザ情報を変更してください。
• 利用者が入力した識別情報(ユーザID)と証明書に含まれる利用者が提示した証明書に含まれる[認証に使用する属性]が、同一の利用者を示すものかを確認してください。(注1)(注2)(注3)(注4)
  

注1)SSOリポジトリへのユーザ情報の登録については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”−“リポジトリサーバの構築”−“SSOリポジトリへのユーザ情報、ロール定義の登録”を参照してください。

注2)V5.xより本バージョンに移行した場合、リポジトリサーバの定義ファイルの「alternative-uid-attribute」に“uid”以外の属性名が設定されている可能性があります。本設定が“uid”以外の場合、設定されている属性名が利用者の識別情報として使用されます。

注3)[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。

注4)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。

User ID and password do not exist.

［意味］
　ユーザID／パスワードがありません。
　認証操作を中止した場合や、ユーザID／パスワード、証明書の提示がなかった場合に出力されます。
　パスワード認証の場合、ブラウザが認証サーバに一度アクセスしてからユーザID／パスワードの入力を促します。このときも本メッセージが出力されます。
　また、JAAS(シングル・サインオンJavaAPI)を使用したアプリケーションがユーザID／パスワードを送信する前に行う、認証サーバ確認のアクセスを受け付けた場合にも本メッセージが出力されます。

［ユーザの対処］
　正しいユーザID／パスワードを指定してください。
　業務サーバのIPアドレスとして“SSO-JavaAPI”という文字列が記録されている場合は、続けて認証のためのアクセスが記録されます。認証のためのアクセスが記録されていない場合は、対象のJAASを使用したアプリケーションに問題が発生したと考えられます。クライアントのIPアドレスとして記録された業務サーバの業務サーバ管理者に、調査を依頼してください。

User is invalid.

［意味］
　ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。

　利用者の認証を試みた日時が、SSOリポジトリに登録されているユーザ情報の有効期間の開始前であるか、有効期間を過ぎています。

［ユーザの対処］
　SSOリポジトリのユーザ情報に設定した有効期間を確認してください。必要であれば利用者を特定し、有効期間を変更してください。(注1)(注2)

注1)利用者の有効期間の確認、変更については、“シングル・サインオン運用ガイド”の“運用・保守”−“利用者に関する操作”−“利用者の有効期間の確認、変更”を参照してください。

注2)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。

User's certificate is revoked.

［意味］
　証明書が失効しています。

［ユーザの対処］
　SSO管理者は、ユーザ識別情報を元に失効した証明書の所有者である利用者を特定し、必要に応じて、以下の対処を行ってください。

1. 利用者の証明書を再取得します。
2. 取得した利用者の証明書を、SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)に登録します。
3. 新たに取得した証明書を利用者に渡し、利用者のWebブラウザに登録するよう指示します。

User's certificate not supported.

［意味］
　証明書の形式に誤りがあります。

［ユーザの対処］
　アクセスログの「クライアントのIPアドレス」をもとに対象の利用者を特定し、正しい証明書であるかを確認してください。

User's ID/password and certificate do not exist.

［意味］
　ユーザID／パスワードおよび証明書がありません。
　認証操作を中止した場合や、ユーザID／パスワード、証明書の提示がなかった場合に出力されます。
　パスワード認証の場合、ブラウザが認証サーバに一度アクセスしてからユーザID／パスワードの入力を促します。このときも本メッセージが出力されます。
　また、JAAS(シングル・サインオンJavaAPI)を使用したアプリケーションがユーザID／パスワードを送信する前に行う、認証サーバ確認のアクセスを受け付けた場合にも本メッセージが出力されます。

［ユーザの対処］
　正しいユーザID／パスワードを指定してください。または、証明書認証が必要であるため、正しい証明書を提示してください。
　業務サーバのIPアドレスとして“SSO-JavaAPI”という文字列が記録されている場合は、続けて認証のためのアクセスが記録されます。認証のためのアクセスが記録されていない場合は、対象のJAASを使用したアプリケーションに問題が発生したと考えられます。クライアントのIPアドレスとして記録された業務サーバの業務サーバ管理者に、調査を依頼してください。

User was already locked.

［意味］
　利用者はロックされています。

［ユーザの対処］
　ロック状態の利用者が認証を要求しました。利用者に確認し、必要に応じてロックを解除してください。ロックの解除については“シングル・サインオン運用ガイド”の“運用・保守”−“利用者に関する操作”−“ロックアウトの解除”を参照してください。

User was locked.

［意味］
　利用者はロックされました。

［ユーザの対処］
　Interstage シングル・サインオンのリポジトリサーバのシステムのログを参照して、メッセージに対する[ユーザの対処]を参考に対処を行ってください。

Violation request from Authentication server Federation service.

［意味］
　認証サーバ間連携サービスから不正な要求を受け付けました。

［ユーザの対処］
　以下の対処を行ってください。

• システムのログが出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
• Webブラウザを閉じて操作をやり直してください。Webブラウザを複数起動している場合は、すべてのWebブラウザを閉じてからやり直してください。

Violation request from Authentication server Federation service. Error was notified to Authentication server Federation service.

［意味］
　認証サーバ間連携サービスから不正な要求を受け付けました。エラーを認証サーバ間連携サービスに通知しました。

［ユーザの対処］
　以下の対処を行ってください。

• システムのログが出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
• Webブラウザを閉じて操作をやり直してください。Webブラウザを複数起動している場合は、すべてのWebブラウザを閉じてからやり直してください。

Violation request of specification.

［意味］
　不正な要求を受け付けました。

［ユーザの対処］
　システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。

◆処理結果がsucceededの場合に出力される補足情報

補足情報の一覧

1. Access-token does not exist.
2. Authentication required.
3. Authentication success was notified to Authentication server Federation service.
4. Credential can not be decrypted.
5. Credential is invalid.
6. Credential is valid.
7. Credentials were generated.
8. Forced Sign-on.
9. Information for the client connection is not the same.
10. Pre Sign-on application called.
11. Pre Sign-on application succeeded.
12. Query about forced Sign-on.
13. Session expired.
14. Sign-off request from Partner Single Sign-on system.
15. Sign-off request from Partner Single Sign-on system. Credential is not found.
16. Sign-off request from Partner Single Sign-on system. Session expired.
17. Time limit of credential is over.

意味、およびユーザの対処

Access-token does not exist.

［意味］
　サインオン状態であることを示すデータが提示されませんでした。

Authentication required.

［意味］
　Interstage シングル・サインオンの業務サーバからの再認証要求を受け付けたため、再認証を行いました。

Authentication success was notified to Authentication server Federation service.

［意味］
　認証サーバ間連携サービスへ認証成功を通知しました。

Credential can not be decrypted.

［意味］
　認証情報の復号に失敗したため、認証情報を再作成しました。

［ユーザの対処］
　異なるサービスIDを使用するInterstage シングル・サインオンの認証サーバが存在していないかを確認してください。

Credential is invalid.

［意味］
　認証情報が有効ではなかったため、再認証を行いました。

Credential is valid.

［意味］
　認証情報は有効でした。

Credentials were generated.

［意味］
　認証サーバ間連携サービスからの要求により認証情報を生成しました。

Forced Sign-on.

［意味］
　利用者が強制サインオンしました。

Information for the client connection is not the same.

［意味］
　クライアントのIPアドレスと、要求データに記録したIPアドレスが一致しません。

［ユーザの対処］
　処理結果がsucceededであるため、特に対処を行う必要はありません。
　ただし、運用上クライアントのIPアドレスが変わらない環境で本メッセージが出力された場合は、攻撃の可能性を調査してください。

Pre Sign-on application called.

［意味］
　統合Windows認証のサーブレットを呼び出しました。

Pre Sign-on application succeeded.

［意味］
　統合Windows認証のサーブレットから認証成功通知を受け取りました。

Query about forced Sign-on.

［意味］
　利用者に強制サインオンを問い合わせました。

Session expired.

［意味］
　サインオフを行いましたが、すでにセションの有効期限が切れていました。

Sign-off request from Partner Single Sign-on system.

［意味］
　相手シングル・サインオンシステムからの要求によりサインオフを行いました。

Sign-off request from Partner Single Sign-on system. Credential is not found.

［意味］
　相手シングル・サインオンシステムからの要求によりサインオフを行いましたが、すでにサインオフされていました。

Sign-off request from Partner Single Sign-on system. Session expired.

［意味］
　相手シングル・サインオンシステムからの要求によりサインオフを行いましたが、すでに有効期限が切れていました。

Time limit of credential is over.

［意味］
　以下の原因が考えられます。

• 再認証の間隔に設定した時間が経過していたため、再認証を行いました。
• 再認証の間隔に設定した値より、SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)に登録されているユーザ情報の有効期間の残り時間が短かった際に、有効期間を延長しました。その後、再認証の間隔に設定した時間が経過していたため、再認証を行いました。

◆処理結果がprocessingの場合に出力される補足情報

補足情報の一覧

1. Confirm the organization that the user belongs to.
2. Query about Sign-off.
3. Session information was notified to Authentication server Federation service.
4. Session information was notified to Authentication server Federation service. Information for the client connection is not the same.

意味、およびユーザの対処

Confirm the organization that the user belongs to.

［意味］
　利用者が所属している組織の確認が必要です。認証サーバ間連携サービスに確認を要求しました。

Query about Sign-off.

［意味］
　サインオフ問い合わせ画面を返却しました。

Session information was notified to Authentication server Federation service.

［意味］
　認証サーバ間連携サービスへセション情報を通知しました。

Session information was notified to Authentication server Federation service. Information for the client connection is not the same.

［意味］
　認証サーバ間連携サービスへセション情報を通知しました。クライアントのIPアドレスと、要求データに記録したIPアドレスが一致しませんでした。

［ユーザの対処］
　運用上クライアントのIPアドレスが変わらないはずの環境で本メッセージが出力された場合は、攻撃の可能性を調査してください。

目次