認証サーバのアクセスログには、業務サーバからの利用者の認証要求に対してリポジトリサーバへ認証処理を依頼した結果が記録されます。
セション管理を行っている場合は、クライアントから依頼、およびキャンセルされた利用者の強制サインオンの結果が記録されます。また、各処理ごとにセションIDも記録されます。
複数台の認証サーバで負荷を分散させる運用を行っている場合、ロードバランサの設定によっては、アクセスログが分散して記録されることもあります。
記録される形式と内容は、以下のとおりです。
クライアント - 業務サーバ - リポジトリサーバ [日時] - "ユーザ識別情報" 処理結果(補足情報) SessionID="セションID" |
認証を要求したクライアントのIPアドレスが、IPv4、またはIPv6形式で記録されます。
認証要求の発生元となった業務サーバのFQDN、またはIPアドレス(IPv4、またはIPv6形式)が記録されます。
Interstage Portalworksからの認証要求の場合は“SSO-JavaAPI”という文字列が記録されます。このとき、アプリケーションが動作しているコンピュータのFQDN、またはIPアドレス(IPv4、またはIPv6形式)が記録されます。
認証要求の発生元が特定できない場合は、“unknown”と記録されます。
認証処理の依頼先リポジトリサーバのIPアドレスが、IPv4、またはIPv6形式で記録されます。なお、リポジトリサーバを負荷分散し、リポジトリサーバ(更新系)とリポジトリサーバ(参照系)で運用している場合には、リポジトリサーバ(参照系)のIPアドレスが記録されます。
リポジトリサーバへ認証処理を依頼しない場合には、“unknown”と記録されます。
アクセスが行われた日時を“YYYY/MM/DD HH:MM:SS+0900”の形式で記録します。
認証を要求した、または認証された利用者を識別する情報(dn、またはuid)を記録します。
利用者を識別できない場合には、“unknown”と記録されます。また、証明書認証で提示された証明書がSSOリポジトリに登録されていない、あるいは提示された証明書から利用者を一意に特定できないといった場合には、その証明書のシリアル番号、発行者識別名、所有者識別名が記録されます。
なお、認証サーバ間連携を行っている場合は、認証サーバ間連携サービスから出力されたユーザ情報が記録されます。
処理結果を以下の形式で記録します。
・利用者の認証要求を依頼された場合
Authentication(認証方式) {succeeded|failed}.
なお、認証方式には、以下のどれかの情報が記録されます。
{basicAuth|certAuth|basicAuthAndCertAuth|unknown}
意味は以下のとおりです。
・basicAuth
“パスワード認証”
・certAuth
“証明書認証”
・basicAuthAndCertAuth
“パスワード認証かつ証明書認証”
・unknown
“認証方式の特定ができない”
“パスワード認証または証明書認証”を行った場合には、“basicAuth”または“certAuth”のアクセスログが記録されます。
・セションの管理を行い、アクセス制御情報を業務サーバ起動時に自動的に更新した場合
ResourceInfo {succeeded|failed}.
・セションの有効性の確認を依頼された場合
Session validation {succeeded | failed}.
・利用者から前回サインオン日時の通知を依頼された場合
Last sign-on time {succeeded | failed}.
・利用者からサインオフを依頼された場合
Revocation {succeeded |processing | failed}.
認証に失敗した場合などの原因を記録します。
なお、本項目は必ず記録されるわけではありません。
セションIDを記録します。
セション管理を行っている場合だけ記録されます。セションIDが識別できない場合には、“unknown”と記録されます。
セション管理を行っている場合
10.131.201.199 - 10.131.201.34 - 10.131.201.88 [2002/09/11 20:28:22 +0900] - "cn=Fujitsu Tarou,ou=User,ou=interstage,o=fujitsu,dc=com" Session validation succeeded. SessionID="JvuX1EwSEoRfk2bs7dGdRSj8kRI" |
セション管理を行っていない場合
10.131.201.199 - 10.131.201.34 - 10.131.201.88 [2002/09/11 20:28:22 +0900] - "cn=Fujitsu Tarou, ou=User,ou=interstage,o=fujitsu,dc=com" Authentication(basicAuth) failed. (Authentication by ID and password is required) |
◆処理結果がfailedの場合に出力される補足情報
Credential is not found. Error was notified to Authentication server Federation service.
Error was notified from Authentication server Federation service.
Failed in Sign-off from the Partner Single Sign-on system of non session management.
Session management is not available. Error was notified to Authentication server Federation service.
Violation request from Authentication server Federation service.
[意味]
業務サーバから掲示された認証情報が古かったため、最新の認証情報を返却し直しました。
[意味]
以下の原因が考えられます。
すでに認証が行われたブラウザを使用して、フォーム認証ページに直接アクセスしました。
Interstage シングル・サインオンの業務サーバ、認証サーバ、リポジトリサーバのシステム時刻が同期していない可能性があります。
[ユーザの対処]
以下の対処を行ってください。
保護リソースに直接アクセスしてください。
別のユーザID/パスワードで運用を行う場合には、ブラウザを閉じて、再度ユーザID/パスワードを入力して認証し直してください。
Interstage シングル・サインオンの業務サーバ、認証サーバ、リポジトリサーバのシステム時刻を同期させてください。
[意味]
ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。
証明書による認証が必要です。以下の原因が考えられます。
証明書による認証が必要ですが、利用者によって、証明書が提示されませんでした。
利用者が正しい証明書を提示している場合は、以下の原因が考えられます。
提示された証明書からSSOリポジトリのユーザ情報を特定できませんでした。
SSOリポジトリのユーザ情報の作成時にオブジェクトクラス“ssoUser”を指定していない可能性があります。
利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっています。
[ユーザの対処]
以下の対処を行ってください。
利用者が証明書を提示していない場合
ブラウザを終了し再度起動して証明書を選択してください。証明書がブラウザに登録されていない場合は、証明書を入手しブラウザに登録してください。
利用者が正しい証明書を提示している場合
利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリで一意な情報であるかを確認してください。[認証に使用する属性]が一意な情報でない場合、SSOリポジトリを操作して、一意な情報になるようにユーザ情報を変更してください。(注1)(注4)
SSOリポジトリのユーザ情報作成時にオブジェクトクラス“ssoUser”を設定しているかを確認してください。(注2)(注4)
SSOリポジトリに証明書が登録されているか、または利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっていないかを確認してください。(注3)
注1)[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。
注2)SSOリポジトリへのユーザ情報の登録については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”-“リポジトリサーバの構築”-“SSOリポジトリへのユーザ情報、ロール定義の登録”を参照してください。
注3)V5.xより本バージョンに移行した場合、認証サーバの定義ファイルの「certificate-identification」が“YES”に設定されている可能性があります。本設定が“YES”の場合、利用者が提示した証明書とSSOリポジトリに登録されている証明書の比較が行われます。
注4)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。
[意味]
ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。
パスワード認証が必要です。以下の原因が考えられます。
利用者が提示した証明書の認証に失敗しました。または、利用者が提示した証明書の[認証に使用する属性]が、SSOリポジトリに重複して登録されています。(注1)
証明書認証に成功しましたが、加えてパスワード認証が必要です。
指定したユーザID/パスワードが正しくありません。または、利用者が入力したユーザIDが、SSOリポジトリに重複して登録されています。
利用者が入力したユーザIDに不正な文字が含まれています。
利用者が入力したユーザIDに対応するSSOリポジトリのユーザ情報にパスワードが設定されていません。
利用者が入力したユーザIDで特定されたエントリと、利用者が提示した証明書に含まれる[認証に使用する属性]で特定されたエントリが、SSOリポジトリで一致していません。(注1)
[ユーザ情報の登録先エントリ]が正しくありません。(注3)
SSOリポジトリのユーザ情報作成時に、オブジェクトクラス“ssoUser”を設定していない可能性があります。
利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっています。
[ユーザの対処]
利用者が正しい証明書、またはユーザID/パスワードを指定しているにもかかわらず本メッセージが出力される場合は、以下の対処を行ってください。
利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリで一意な情報であるかを確認してください。(注1)
[認証に使用する属性]が一意な情報でない場合、SSOリポジトリを操作して、一意な情報になるようにユーザ情報を変更してください。(注7)
パスワード認証も必要な場合は、パスワード認証を行ってください。
利用者が入力した識別情報(ユーザID)が、SSOリポジトリで一意な情報であるかを確認してください。識別情報(ユーザID)が一意な情報でない場合は、SSOリポジトリのユーザ情報を変更してください。(注2)(注7)
Webブラウザに入力するユーザIDには、SSOリポジトリのユーザ情報のユーザID属性“uid”に設定可能な文字を使用してください。(注6)
利用者が入力した識別情報(ユーザID)に対応するSSOリポジトリのユーザ情報に、パスワード属性“userPassword”の値が設定されているか確認してください。(注2)(注4)(注7)
利用者が入力した識別情報(ユーザID)と利用者が提示した証明書に含まれる[認証に使用する属性]が、同一の利用者を示すものかを確認してください。(注1)(注2)
SSOリポジトリにユーザ情報が登録されている場合は、SSOリポジトリの[ユーザ情報の登録先エントリ]が正しく設定されているかを確認してください。(注3)
SSOリポジトリのユーザ情報作成時にオブジェクトクラス“ssoUser”を設定しているかを確認してください。(注4)(注7)
SSOリポジトリに証明書が登録されているか、または利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっていないかを確認してください。(注5)
注1)[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。
注2)V5.xより本バージョンに移行した場合、リポジトリサーバの定義ファイルの「alternative-uid-attribute」に“uid”以外の属性名が設定されている可能性があります。本設定が“uid”以外の場合、設定されている属性名が利用者の識別情報として使用されます。
注3)[ユーザ情報の登録先エントリ]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ]、または[リポジトリサーバ(参照系)] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]、または[詳細設定[表示]]をクリックし、[リポジトリ]を参照してください。
注4)SSOリポジトリへのユーザ情報の登録については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”-“リポジトリサーバの構築”-“SSOリポジトリへのユーザ情報、ロール定義の登録”を参照してください。
注5)V5.xより本バージョンに移行した場合、認証サーバの定義ファイルの「certificate-identification」が“YES”に設定されている可能性があります。本設定が“YES”の場合、利用者が提示した証明書とSSOリポジトリに登録されている証明書の比較が行われます。
注6)SSOリポジトリのユーザ情報に設定可能な文字種については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”-“リポジトリサーバの構築”-“SSOリポジトリへのユーザ情報、ロール定義の登録”-“ユーザ情報のエントリ”を参照してください。
注7)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。
[意味]
ブラウザにフォーム認証ページが表示されてから認証操作が終了するまでの間に、保護リソースにアクセスを行いました。
[ユーザの対処]
Webブラウザの別のフレームにて認証操作を行っている場合には、そのフレームにて認証操作を行ったあとで、再度アクセスしてください。
Webブラウザの別のフレームにて認証操作を行っていない場合には、フォーム認証ページに直接アクセスし、認証操作を行ってください。
[意味]
Interstage シングル・サインオンの業務サーバからの再認証要求を受け付けました。
[ユーザの対処]
ユーザID/パスワードを入力して、再認証を行ってください。
[意味]
ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。
認証方式が一致していません。以下の原因が考えられます。
SSOリポジトリのユーザ情報に設定した認証方式では証明書による認証が必要ですが、利用者から証明書が提示されませんでした。
[ユーザの対処]
SSOリポジトリに設定したユーザ情報の認証方式と利用者が行った認証方式を確認し、証明書による認証を行ってください。(注1)(注2)
注1)利用者の認証方式については、SSOリポジトリのユーザ情報に設定した「ssoAuthType」(認証方式)を確認してください。
注2)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。
[意味]
ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。
SSOリポジトリのユーザ情報に設定した認証方式にはパスワード認証が必要ですが、利用者からユーザ名/パスワードが提示されませんでした。
[ユーザの対処]
SSOリポジトリに設定したユーザ情報の認証方式と利用者が行った認証方式を確認し、パスワード認証を行ってください。(注1)(注2)(注3)
注1)利用者の認証方式については、SSOリポジトリのユーザ情報に設定した「ssoAuthType」(認証方式)を確認してください。
注2)SSOリポジトリのユーザ情報に設定した「ssoAuthType」が“basicAuthAndCertAuth”の場合には、必ず当メッセージがアクセスログに記録されます。ユーザの対処は必要ありません。
注3)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。
[意味]
認証情報の復号に失敗しました。以下の原因が考えられます。
クライアントとInterstage シングル・サインオンの認証サーバの通信で異常が発生しました。
異なる認証基盤と通信しているInterstage シングル・サインオンの業務サーバが存在しています。
外部からの攻撃の可能性があります。
[ユーザの対処]
以下の対処を行ってください。
通信経路に問題がある可能性があります。クライアントと認証サーバ間で正常に通信を行える環境であるか、ネットワーク管理者に問い合わせてください。
異なる認証基盤と通信しているInterstage シングル・サインオンの業務サーバが存在していないかを確認してください。存在している場合は、業務サーバ管理者に業務サーバの認証基盤の情報を確認するよう依頼してください。(注1)
設定に問題がある場合は、業務サーバの再構築を行うよう依頼してください。(注2)
外部からの攻撃の可能性を調査してください。
注1)[認証基盤の情報]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[認証基盤の情報]の[認証基盤のURL]を参照してください。
注2)業務サーバの再構築については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [一覧]タブにより業務サーバを削除してから、[業務サーバの追加]タブにより業務サーバを追加してください。
[意味]
認証情報は有効ではありません。
[ユーザの対処]
ユーザID/パスワードを入力して、再認証を行ってください。
[意味]
認証情報が存在しないため、サインオフが完了していない可能性があります。以下の原因が考えられます。
以前、サインオフを行った際に、相手シングル・サインオンシステムでサインオフに失敗し、その状態でWebブラウザを閉じずに操作を継続した可能性があります。
Webブラウザに保持できるCookieの上限を超えたため、Interstage シングル・サインオンの処理に必要なCookieが削除された可能性があります。
[ユーザの対処]
以下の対処を行ってください。
Webブラウザを閉じてください。複数起動している場合は、すべてのWebブラウザを閉じてください。
認証サーバと同一ホスト名、またはドメインで運用されているWebアプリケーションなどで、大量のCookieを発行しているものがないか確認してください。該当するWebアプリケーションがあった場合は、Cookieの発行量を減らすか、認証サーバと異なるホスト名、またはドメインで運用するようにしてください。
[意味]
認証情報が存在しないため、サインオフを継続できませんでした。認証サーバ間連携サービスにエラーを通知しました。
以下の原因が考えられます。
以前、サインオフを行った際に、相手シングル・サインオンシステムでサインオフに失敗し、その状態でWebブラウザを閉じずに操作を継続した可能性があります。
Webブラウザに保持できるCookieの上限を超えたため、Interstage シングル・サインオンの処理に必要なCookieが削除された可能性があります。
[ユーザの対処]
以下の対処を行ってください。
Webブラウザを閉じてください。複数起動している場合は、すべてのWebブラウザを閉じてください。
認証サーバと同一ホスト名、またはドメインで運用されているWebアプリケーションなどで、大量のCookieを発行しているものがないか確認してください。該当するWebアプリケーションがあった場合は、Cookieの発行量を減らすか、認証サーバと異なるホスト名、またはドメインで運用するようにしてください。
[意味]
認証情報のサイズが上限に達したため、認証情報の生成に失敗しました。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[意味]
SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)のユーザ情報に規定外の値が登録されています。
[ユーザの対処]
SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)のユーザ情報の値を確認してください。
[意味]
認証サーバ間連携サービスからエラーが通知されました。
[ユーザの対処]
以下の対処を行ってください。
システムのログが出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
Webブラウザにメッセージが表示されている場合は、メッセージに対する対処を参考に対処を行ってください。
[意味]
セションの管理を行っていない相手シングル・サインオンシステムでサインオフに失敗した可能性があります。
[ユーザの対処]
Webブラウザを閉じてください。複数起動している場合は、すべてのWebブラウザを閉じてください。
[意味]
要求データの復号に失敗しました。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[意味]
利用者が、強制サインオンを取り消しました。
[意味]
クライアントのIPアドレスと、要求データに記録したIPアドレスが一致しません。
[ユーザの対処]
再度、サインオン操作をやり直してください。
[意味]
内部異常が発生しました。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[意味]
Interstage シングル・サインオンのリポジトリサーバで内部異常が発生しました。
[ユーザの対処]
アクセスログの「リポジトリサーバのIPアドレス」で表示されたInterstage シングル・サインオンのリポジトリサーバのアクセスログおよびシステムのログを参照して、必要な対処を行ってください。
[意味]
証明書に利用者を特定する情報が含まれていません。
[ユーザの対処]
Interstage シングル・サインオンの認証サーバで設定した[認証に使用する属性]が証明書に含まれているかを確認してください。
証明書に[認証に使用する属性]が含まれていない場合、必要であれば、利用者に証明書の再取得を依頼してください。
[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。
[意味]
統合Windows認証の認証処理で失敗しました。
[ユーザの対処]
SSOリポジトリとActive Directoryが正しく関連付けられているか確認し直してください。SSOリポジトリとActive Directoryの関連付けについては、“シングル・サインオン運用ガイド”の“Active Directoryと連携するための設定”を参照してください。
上記設定に問題がない場合は、リポジトリサーバのアクセスログを参照してください。
[意味]
統合Windows認証の操作の途中で、保護リソース、または認証基盤のURLにアクセスされたため、統合Windows認証のサーブレットを呼び出し直しました。
[意味]
利用者が強制サインオンの問合せ操作の途中で、保護リソースにアクセスを行いましたので、改めて利用者に強制サインオンを問い合わせました。
[意味]
以下の原因が考えられます。
ブラウザのリロードを検出したため、再認証を要求しました。
Internet Explorerの基本認証ダイアログに対してキャンセルで応答したため、続けて表示される基本認証ダイアログによる認証が失敗しました。
[ユーザの対処]
以下の対処を行ってください。
ユーザID/パスワードを入力して、再認証を行ってください。
続けて表示される基本認証ダイアログに再度、正しいユーザID/パスワードを入力して認証を行ってください。
[意味]
破損した要求データを受け付けました。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[意味]
要求データの値の解釈に失敗しました。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[意味]
セションの有効期限が切れました。
[ユーザの対処]
再度、サインオン操作をやり直してください。
[意味]
セション情報が見つかりませんでした。エラーを認証サーバ間連携サービスに通知しました。
セションの管理を行っていない相手シングル・サインオンシステムからのサインオフに失敗した可能性があります。
[ユーザの対処]
Webブラウザを閉じてください。複数起動している場合は、すべてのWebブラウザを閉じてください。
[意味]
他のマシンでサインオン中のためリダイレクトしました。
[意味]
セション情報が存在しないため、サインオフを継続できませんでした。
[ユーザの対処]
Webブラウザにメッセージが表示されている場合は、メッセージに対する対処を参考に対処を行ってください。
[意味]
セションの管理を行っていないため、シングル・サインオンシステムに対してサインオフ要求を行いましたが、サインオフできませんでした。認証サーバ間連携サービスにエラーを通知しました。
[ユーザの対処]
システムのログが出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[意味]
アイドル監視でタイムアウトが発生しました。
[ユーザの対処]
再度、サインオン操作をやり直してください。
[意味]
利用者がサインオフ問い合わせ画面で、サインオフの取り消しを選択しました。
[意味]
サインオンされていないため、要求された操作を実施できませんでした。
[ユーザの対処]
必要に応じて、サインオンしてください。
[意味]
利用者の提示したユーザIDは、すでにサインオンしています。
[ユーザの対処]
以下の対処を行ってください。
他のブラウザで認証済みの場合は、該当ブラウザでサインオフを行ってください。
他のブラウザで認証を行っていない場合は、業務サーバ管理者に問い合わせてください。
[意味]
ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。
以下の原因が考えられます。
再認証の間隔に設定した時間が経過しています。
SSOリポジトリに登録されているユーザ情報の有効期間が過ぎています。
[ユーザの対処]
以下の対処を行ってください。
ユーザID/パスワードを入力して、再認証を行ってください。
SSOリポジトリのユーザ情報に設定した有効期間を確認してください。必要であれば利用者を特定し、有効期間を変更してください。(注1)(注2)
注1)利用者の有効期間の確認、変更については、“シングル・サインオン運用ガイド”の“運用・保守”-“利用者に関する操作”-“利用者の有効期間の確認、変更”を参照してください。
注2)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。
[意味]
証明書の有効期間が切れています。
[ユーザの対処]
SSO管理者は、ユーザ識別情報を元に有効期間が切れている証明書の所有者である利用者を特定し、必要に応じて、以下の対処を行ってください。
利用者の証明書を再取得します。
取得した利用者の証明書を、SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)に登録します。
新たに取得した証明書を利用者に渡し、利用者のWebブラウザに登録するよう指示します。
[意味]
ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。
SSOリポジトリのユーザ情報を特定できません。以下の原因が考えられます。
利用者が入力したユーザIDがSSOリポジトリに重複して登録されています。
利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリに重複して登録されています。
利用者が入力したユーザIDで特定されたエントリと、利用者が提示した証明書に含まれる[認証に使用する属性]で特定されたエントリが、SSOリポジトリで一致していません。
[ユーザの対処]
以下の対処を行ってください。
利用者が入力した識別情報(ユーザID)が、SSOリポジトリで一意な情報であるかを確認してください。識別情報(ユーザID)が一意な情報でない場合は、SSOリポジトリを操作して、一意な情報になるようにユーザ情報を変更してください。(注1)(注2)(注4)
利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリで一意な情報であるかを確認してください。(注1)(注3)(注4)
[認証に使用する属性]が一意な情報でない場合、SSOリポジトリを操作して、一意な情報になるようにユーザ情報を変更してください。
利用者が入力した識別情報(ユーザID)と証明書に含まれる利用者が提示した証明書に含まれる[認証に使用する属性]が、同一の利用者を示すものかを確認してください。(注1)(注2)(注3)(注4)
注1)SSOリポジトリへのユーザ情報の登録については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”-“リポジトリサーバの構築”-“SSOリポジトリへのユーザ情報、ロール定義の登録”を参照してください。
注2)V5.xより本バージョンに移行した場合、リポジトリサーバの定義ファイルの「alternative-uid-attribute」に“uid”以外の属性名が設定されている可能性があります。本設定が“uid”以外の場合、設定されている属性名が利用者の識別情報として使用されます。
注3)[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。
注4)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。
[意味]
ユーザID/パスワードがありません。
認証操作を中止した場合や、ユーザID/パスワード、証明書の提示がなかった場合に出力されます。
パスワード認証の場合、ブラウザが認証サーバに一度アクセスしてからユーザID/パスワードの入力を促します。このときも本メッセージが出力されます。
また、JAAS(シングル・サインオンJavaAPI)を使用したアプリケーションがユーザID/パスワードを送信する前に行う、認証サーバ確認のアクセスを受け付けた場合にも本メッセージが出力されます。
[ユーザの対処]
正しいユーザID/パスワードを指定してください。
業務サーバのIPアドレスとして“SSO-JavaAPI”という文字列が記録されている場合は、続けて認証のためのアクセスが記録されます。認証のためのアクセスが記録されていない場合は、対象のJAASを使用したアプリケーションに問題が発生したと考えられます。クライアントのIPアドレスとして記録された業務サーバの業務サーバ管理者に、調査を依頼してください。
[意味]
ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”に読み替えてください。
利用者の認証を試みた日時が、SSOリポジトリに登録されているユーザ情報の有効期間の開始前であるか、有効期間を過ぎています。
[ユーザの対処]
SSOリポジトリのユーザ情報に設定した有効期間を確認してください。必要であれば利用者を特定し、有効期間を変更してください。(注1)(注2)
注1)利用者の有効期間の確認、変更については、“シングル・サインオン運用ガイド”の“運用・保守”-“利用者に関する操作”-“利用者の有効期間の確認、変更”を参照してください。
注2)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。
[意味]
証明書が失効しています。
[ユーザの対処]
SSO管理者は、ユーザ識別情報を元に失効した証明書の所有者である利用者を特定し、必要に応じて、以下の対処を行ってください。
利用者の証明書を再取得します。
取得した利用者の証明書を、SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)に登録します。
新たに取得した証明書を利用者に渡し、利用者のWebブラウザに登録するよう指示します。
[意味]
証明書の形式に誤りがあります。
[ユーザの対処]
アクセスログの「クライアントのIPアドレス」をもとに対象の利用者を特定し、正しい証明書であるかを確認してください。
[意味]
ユーザID/パスワードおよび証明書がありません。
認証操作を中止した場合や、ユーザID/パスワード、証明書の提示がなかった場合に出力されます。
パスワード認証の場合、ブラウザが認証サーバに一度アクセスしてからユーザID/パスワードの入力を促します。このときも本メッセージが出力されます。
また、JAAS(シングル・サインオンJavaAPI)を使用したアプリケーションがユーザID/パスワードを送信する前に行う、認証サーバ確認のアクセスを受け付けた場合にも本メッセージが出力されます。
[ユーザの対処]
正しいユーザID/パスワードを指定してください。または、証明書認証が必要であるため、正しい証明書を提示してください。
業務サーバのIPアドレスとして“SSO-JavaAPI”という文字列が記録されている場合は、続けて認証のためのアクセスが記録されます。認証のためのアクセスが記録されていない場合は、対象のJAASを使用したアプリケーションに問題が発生したと考えられます。クライアントのIPアドレスとして記録された業務サーバの業務サーバ管理者に、調査を依頼してください。
[意味]
利用者はロックされています。
[ユーザの対処]
ロック状態の利用者が認証を要求しました。利用者に確認し、必要に応じてロックを解除してください。ロックの解除については“シングル・サインオン運用ガイド”の“運用・保守”-“利用者に関する操作”-“ロックアウトの解除”を参照してください。
[意味]
利用者はロックされました。
[ユーザの対処]
Interstage シングル・サインオンのリポジトリサーバのシステムのログを参照して、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
[意味]
認証サーバ間連携サービスから不正な要求を受け付けました。
[ユーザの対処]
以下の対処を行ってください。
システムのログが出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
Webブラウザを閉じて操作をやり直してください。Webブラウザを複数起動している場合は、すべてのWebブラウザを閉じてからやり直してください。
[意味]
認証サーバ間連携サービスから不正な要求を受け付けました。エラーを認証サーバ間連携サービスに通知しました。
[ユーザの対処]
以下の対処を行ってください。
システムのログが出力されている場合は、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
Webブラウザを閉じて操作をやり直してください。Webブラウザを複数起動している場合は、すべてのWebブラウザを閉じてからやり直してください。
[意味]
不正な要求を受け付けました。
[ユーザの対処]
システムのログが出力されますので、メッセージに対する[ユーザの対処]を参考に対処を行ってください。
◆処理結果がsucceededの場合に出力される補足情報
Authentication success was notified to Authentication server Federation service.
Sign-off request from Partner Single Sign-on system. Credential is not found.
Sign-off request from Partner Single Sign-on system. Session expired.
[意味]
サインオン状態であることを示すデータが提示されませんでした。
[意味]
Interstage シングル・サインオンの業務サーバからの再認証要求を受け付けたため、再認証を行いました。
[意味]
認証サーバ間連携サービスへ認証成功を通知しました。
[意味]
認証情報の復号に失敗したため、認証情報を再作成しました。
[ユーザの対処]
異なるサービスIDを使用するInterstage シングル・サインオンの認証サーバが存在していないかを確認してください。
[意味]
認証情報が有効ではなかったため、再認証を行いました。
[意味]
認証情報は有効でした。
[意味]
認証サーバ間連携サービスからの要求により認証情報を生成しました。
[意味]
利用者が強制サインオンしました。
[意味]
クライアントのIPアドレスと、要求データに記録したIPアドレスが一致しません。
[ユーザの対処]
処理結果がsucceededであるため、特に対処を行う必要はありません。
ただし、運用上クライアントのIPアドレスが変わらない環境で本メッセージが出力された場合は、攻撃の可能性を調査してください。
[意味]
統合Windows認証のサーブレットを呼び出しました。
[意味]
統合Windows認証のサーブレットから認証成功通知を受け取りました。
[意味]
利用者に強制サインオンを問い合わせました。
[意味]
サインオフを行いましたが、すでにセションの有効期限が切れていました。
[意味]
相手シングル・サインオンシステムからの要求によりサインオフを行いました。
[意味]
相手シングル・サインオンシステムからの要求によりサインオフを行いましたが、すでにサインオフされていました。
[意味]
相手シングル・サインオンシステムからの要求によりサインオフを行いましたが、すでに有効期限が切れていました。
[意味]
以下の原因が考えられます。
再認証の間隔に設定した時間が経過していたため、再認証を行いました。
再認証の間隔に設定した値より、SSOリポジトリ(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directory)に登録されているユーザ情報の有効期間の残り時間が短かった際に、有効期間を延長しました。その後、再認証の間隔に設定した時間が経過していたため、再認証を行いました。
◆処理結果がprocessingの場合に出力される補足情報
[意味]
利用者が所属している組織の確認が必要です。認証サーバ間連携サービスに確認を要求しました。
[意味]
サインオフ問い合わせ画面を返却しました。
[意味]
認証サーバ間連携サービスへセション情報を通知しました。
[意味]
認証サーバ間連携サービスへセション情報を通知しました。クライアントのIPアドレスと、要求データに記録したIPアドレスが一致しませんでした。
[ユーザの対処]
運用上クライアントのIPアドレスが変わらないはずの環境で本メッセージが出力された場合は、攻撃の可能性を調査してください。
