Interstage Application Server メッセージ集

目次

23.3.10 sso02012

SSO: ERROR: sso02012: Invalid request was received. IPAddr=(%s1) Detail=(%s2) Code=(%s3)

SSO: エラー: sso02012: 不正な要求を受け付けました。 IPAddr=(%s1) Detail=(%s2) Code=(%s3)

［可変情報］
　%s1：要求元のIPアドレス、またはホスト名
　%s2：保守情報
　%s3：保守情報

［意味］
　Interstage シングル・サインオンの認証サーバが不正な要求を受け付けました。以下の原因が考えられます。

• 保守情報(%s2)に“fj-is-sso-request”が表示されている場合、サインオフのURL、または前回サインオン日時の確認用のURLに誤りがあります。
• 保守情報(%s2)に“Session management is not available.”が表示されている場合、セションの管理を行っていない環境で、サインオフ、または前回サインオン日時の要求を受け付けました。
• 強制サインオン問い合わせページ、またはサインオフ問い合わせページ用のフォームタグの設定に誤りがあります。(注1)
• 利用者のブラウザがcookieを受け付けない設定になっています。
• 認証サーバが利用者のWebブラウザにステータスコード500を返却した際に、利用者がWebブラウザを終了させずに、Webブラウザの再読み込みを実施した可能性があります。
• Interstage シングル・サインオンの認証サーバの設定を変更した後に、変更前に操作していたWebブラウザで操作を行った可能性があります。
• 認証サーバの環境設定の[パスワード認証]の[ユーザID/パスワードの入力画面]にて、“基本認証ダイアログ”が選択されている状態で、利用者が以下の操作を行った可能性があります。
  • フォーム認証ページのURLにアクセスしました。
  • フォーム認証ページから認証を行いました。
• フォーム認証ページの内容に誤りがあります。
• 利用者が指定したフォーム認証ページのURL(注2)に誤りがある可能性があります。
• Webブラウザに表示するメッセージのカスタマイズを行っている場合は、インストール直後の状態で認証用のフォームタグが含まれていないメッセージファイルに、認証用のフォームタグを追加した状態で認証を行った可能性があります。
• セションの管理を行っている場合、業務システム上のWebアプリケーションのページがフレームを使用している場合は、サインオフ用のリンクの設定に誤りがある可能性があります。
• 業務サーバの以下の未認証画面用メッセージファイル内に記述されている「<!--SSO_POST_REQUEST_AUTH_TARGET-->」部分が変更されている可能性があります。
  • 403postauth_ja.template
  • 403postauth_en.template
• Interstage シングル・サインオンの業務サーバの環境に問題があります。
• 外部からの攻撃の可能性があります。

［ユーザの対処］
　以下の対処を行ってください。

• 本メッセージの直前にシステムのログが出力されている場合は、出力されているメッセージを確認してエラー原因を取り除いてください。
• 保守情報(%s2)に“fj-is-sso-request”が表示されている場合は、サインオフのURL、または前回サインオン日時の確認用のURLに誤りがないか確認してください。
  サインオフのURLについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”−“サインオフするためのWebページのカスタマイズ”を参照してください。
  前回サインオン日時の確認用のURLについては、“シングル・サインオン運用ガイド”の“運用・保守”−“利用者に関する操作”−“前回サインオン日時の確認”を参照してください。
• 保守情報(%s2)に“Session management is not available.”が表示されている場合、サインオフ、または前回サインオン日時の要求は行わないでください。サインオフ、前回サインオン日時の通知を行う場合は、セションの管理を行う設定に変更してください。(注3)
• 強制サインオン問い合わせページ、またはサインオフ問い合わせページ用のフォームタグの設定に誤りがないか確認してください。(注1)

　上記以外の場合は、以下の手順で対処を行ってください。

1. 利用者のWebブラウザがcookieを受け付けない設定となっていないか確認してください。
2. 利用者のWebブラウザがcookieを受け付ける設定となっていた場合は、利用者が以下の条件に一致する操作を行っていないか確認してください。以下の条件に合致する場合には、利用者にWebブラウザを終了し再度起動し、再度アクセスするよう指導してください。
   1. Webブラウザから通知されるステータスコードが500であった状態で、かつ
   2. Webブラウザを終了させずに、Webブラウザの再読み込みを実施。
   3. または、Interstage シングル・サインオンの認証サーバの設定を変更した後に、変更前に操作を行っていたWebブラウザから操作を行った場合。
3. 2.で利用者の操作が条件に一致しない場合で、フォーム認証ページを使用した認証を行う場合には、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[パスワード認証]の[ユーザID/パスワードの入力画面]にて“フォーム認証ページ”を選択してください。Webブラウザの基本認証ダイアログを使用して認証を行う場合には、利用者に業務システムの公開URLよりアクセスするように指導してください。また、利用者がフォーム認証ページから認証を行った場合は、Webブラウザを終了し再度起動し、業務システムの公開URLより再度アクセスするよう指導してください。
4. 3.で認証サーバの環境設定にて“フォーム認証ページ”が選択されている場合には、フォーム認証ページの内容に誤りがないか確認してください。(注4)
5. フォーム認証ページの内容に誤りがない場合は、利用者が指定したフォーム認証ページのURL(注2)に誤りがないか確認してください。
6. Webブラウザに表示するメッセージのカスタマイズを行っている場合は、インストール直後の状態で認証用のフォームタグが含まれていないメッセージファイルに、認証用のフォームタグを追加していないか確認してください。(注5)
7. セションの管理を行っている場合、業務システム上のWebアプリケーションのページがフレームを使用している場合は、サインオフ用のリンクの設定に誤りがないか確認してください。(注6)
8. 業務サーバ管理者に、以下の未認証画面用メッセージファイルの「<!--SSO_POST_REQUEST_AUTH_TARGET-->」部分が変更されていないか確認してください。変更されている場合は、「<!--SSO_POST_REQUEST_AUTH_TARGET-->」部分を正しく記述するよう業務サーバ管理者に依頼してください。(注7)
   • 403postauth_ja.template
   • 403postauth_en.template
9. 要求元のIPアドレス、またはホスト名(%s1)でInterstage シングル・サインオンの業務サーバが運用されているかを確認します。
10. 9.で要求元のIPアドレス、またはホスト名(%s1)で業務サーバが運用されている場合は、認証サーバの環境設定の[業務システムとの通信の設定]の[HTTP通信]を、以下の手順で確認します。
    1. Interstage管理コンソールの[セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブをクリックします。
    2. [詳細設定[表示]]をクリックして表示される[業務システムとの通信の設定]の[HTTP通信]により確認します。
11. 10.で認証サーバが、[業務システムとの通信の設定]の[HTTP通信]で“許可しない”を選択している場合は、httpで運用している業務サーバからの要求をすべて不正な要求として処理します。業務サーバの管理者に、業務サーバをhttpsで運用するように指導してください。
    業務サーバをhttpsで運用している場合、業務システムの公開URLが誤っている可能性があります。業務サーバの管理者に、[業務システムの情報]の[公開URL]がhttpsであるか、確認を依頼してください。業務システムがhttpsで運用しているかについては、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [業務システム] > [業務システム名] > [環境設定]タブの[詳細設定[表示]]をクリックし、[業務システムの情報]の[公開URL]を確認します。
    httpで運用している業務サーバをhttpsで運用するように変更する場合、または[業務システムの情報]の[公開URL]に誤りがあった場合は、業務サーバをいったん削除し、構築しなおしてください。
    業務サーバをhttpのままで運用する場合は、[業務システムとの通信の設定]の[HTTP通信]を“許可する”に変更し、認証サーバを停止して再起動してください。(注8)
    セキュリティ上の脅威および対策については、“セキュリティシステム運用ガイド”を参照してください。
12. 9.で要求元のIPアドレス、またはホスト名(%s1)で業務サーバが運用されていない場合は、外部からの攻撃の可能性があります。要求元のIPアドレス、またはホスト名(%s1)をもとに攻撃の可能性を調査してください。

注1)強制サインオン問い合わせページのフォームタグについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”−“Webブラウザに表示するメッセージのカスタマイズ”−“強制サインオン問い合わせページ用フォームタグの仕様”を参照してください。また、サインオフ問い合わせページのフォームタグについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”−“Webブラウザに表示するメッセージのカスタマイズ”−“サインオフ問い合わせページ用フォームタグの仕様”を参照してください。

注2)フォーム認証ページのURLについては、“シングル・サインオン運用ガイド”の“概要”−“認証”−“パスワード認証と証明書認証”を参照してください。

注3)セションの管理を行う運用への移行については、“シングル・サインオン運用ガイド”の“旧バージョンの環境定義と機能について”−“セションの管理を行う運用への移行について”を参照してください。

注4)フォーム認証ページのカスタマイズ方法については“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”−“Webブラウザに表示するメッセージのカスタマイズ”を参照してください。

注5)Webブラウザに表示するメッセージのカスタマイズについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”−“Webブラウザに表示するメッセージのカスタマイズ”−“カスタマイズできるメッセージ”を参照してください。

注6)サインオフ用のリンクの設定方法については、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”−“サインオフするためのWebページのカスタマイズ”−“Webページのカスタマイズ方法”を参照してください。

注7)未認証画面用メッセージファイルのカスタマイズについては、“シングル・サインオン運用ガイド”の“シングル・サインオンのカスタマイズ”−“Webブラウザに表示するメッセージのカスタマイズ”−“未認証画面用タグの仕様”を参照してください。

注8)認証サーバの停止については“シングル・サインオン運用ガイド”の“運用・保守”−“シングル・サインオンの停止”−“認証サーバの停止”を参照してください。認証サーバの起動については“シングル・サインオン運用ガイド”の“運用・保守”−“シングル・サインオンの起動”−“認証サーバの起動”を参照してください。

目次