リソースにアクセスするためには、認証する必要があります。

シングル・サインオン運用時の追加メッセージが出力される場合、各メッセージの対処にしたがってください。

User authentication is required.
ユーザ認証が必要です。

意味

利用者の認証に失敗しました。
Webブラウザの設定が統合Windows認証を行う設定になっていません。

利用者の対処

Microsoft(R) Internet Explorerの[ツール]－[インターネットオプション]－[詳細設定]を選択し、“統合Windows認証を使用する(再起動が必要)”をチェックしてください。

User name or password is incorrect.
ユーザ名、またはパスワードが正しくありません。

意味

ユーザ情報の登録先にActive Directoryを使用している場合は、以降“SSOリポジトリ”を“Active Directory”、“ユーザID”を“ユーザー ログオン名”に読み替えてください。

利用者の認証に失敗しました。以下の原因が考えられます。

• 利用者が証明書を提示しませんでした。また、正しい証明書を提示しませんでした。

• 利用者が指定した識別情報(ユーザID)／パスワードが正しくありませんでした。

• 証明書による認証に成功しましたが、パスワード認証が行われませんでした。

• 利用者が指定した識別情報(ユーザID)がSSOリポジトリのユーザ情報に登録されていません。

• 利用者が指定した識別情報(ユーザID)がSSOリポジトリで一意ではありません。
  (指定したユーザIDがSSOリポジトリの複数のユーザ情報に登録されています)

• 利用者が指定した識別情報(ユーザID)／パスワードが1つのユーザ情報に複数登録されています。

• 利用者が提示した証明書に対応するユーザがSSOリポジトリに登録されていません。

• 利用者が提示した証明書に対応するユーザがSSOリポジトリで一意ではありません。
  (提示した証明書に対応するユーザがSSOリポジトリの複数のユーザ情報に登録されています)

• 利用者が指定した識別情報(ユーザID)と、利用者が提示した証明書が、それぞれ別のユーザを示しています。

• 利用者が識別情報(ユーザID)／パスワードを指定しましたが、利用者が指定した識別情報(ユーザID)に対応するSSOリポジトリのユーザ情報に、パスワードが登録されていません。

• ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用している場合は、SSOリポジトリにユーザ情報を作成する際にオブジェクトクラス“ssoUser”を設定していません。

• ユーザ情報を登録するディレクトリサービスにActive Directoryを使用している場合は、シングル・サインオンの拡張スキーマの設定が正しく行われていない可能性があります。

• 指定したユーザが無効となっています。(注1)

• 指定したユーザがロックアウトされました。(注1)

• 指定したユーザがロックアウトされた状態となっています。(注1)

利用者の対処

正しいユーザ名／パスワードを指定してください。また、証明書を使用する場合は、正しい証明書を提示してください。
正しいユーザ名／パスワード、証明書を指定しているにもかかわらず本メッセージが表示される場合は、業務サーバ管理者に問い合わせてください。

業務サーバ管理者の対処

SSO管理者に問い合わせてください。

SSO管理者の対処 パスワード認証の場合

利用者が正しいユーザID／パスワードを指定しているにもかかわらず本メッセージが表示される場合は、以下の確認を行ってください。

• リポジトリサーバで設定した[ユーザ情報の登録先エントリ]の設定値が正しいか、指定したユーザIDに設定できない文字が含まれていないかを確認してください。(注2)(注3)(注11)

• 利用者の指定した識別情報(ユーザID)が、SSOリポジトリのユーザ情報に登録されているか確認してください。登録されていない場合は、指定したユーザIDを登録してください。登録されている場合は、以下の対処を行ってください。

  • 指定したユーザIDが、SSOリポジトリのユーザ情報として一意であるか確認してください。一意ではない場合、SSOリポジトリを操作して、正しい状態にしてください。(注3)(注4)(注5)(注11)

  • 1つのユーザ情報にユーザID／パスワードが複数登録されていないかを確認してください。複数登録されている場合は、SSOリポジトリを操作して、ユーザID／パスワードは1つだけを登録するように再設定してください。(注3)(注5)(注11)

  • 指定したユーザIDに対応するSSOリポジトリのユーザ情報に、「userPassword」属性が設定されているか確認してください。(注3)(注4)(注5)(注8)

  • ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用している場合は、以下を確認してください。

    • 指定したユーザIDに対応するパスワード属性「userPassword」が、SSOリポジトリのユーザ情報に設定されているか確認してください。(注3)(注4)(注5)(注8)

    • ユーザ情報のオブジェクトクラスに“ssoUser”が設定されているかを確認してください。(注3)(注4)

  • ユーザ情報を登録するディレクトリサービスにActive Directoryを使用している場合は、以下を確認してください。

    • 指定したユーザー ログオン名に対するパスワードが、Active Directoryのユーザ情報に設定されているか確認してください。(注11)

    • シングル・サインオンの拡張スキーマの設定が正しく設定されているか確認してください。(注12)

• 上記以外の場合は、SSOリポジトリに登録されている該当利用者がロックアウト状態になっていないか、また該当利用者の有効期間の設定が正しいか確認してください。(注6)(注7)

• ロックアウト状態ではなく、有効期間にも問題がない場合は、該当利用者のユーザ情報の「userPassword」属性(ユーザ情報の登録先にActive Directoryを使用している場合は、Active Directoryのマニュアルを参照)を登録し直してください。(注8)(注11)

SSO管理者の対処 証明書認証の場合

利用者が正しい証明書を提示しているにもかかわらず本メッセージが表示される場合は、以下の確認を行ってください。

• リポジトリサーバで設定した[ユーザ情報の登録先エントリ]の設定値が正しいか確認してください。(注2)

• [ユーザ情報の登録先エントリ]が正しく設定されている場合、利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリのユーザ情報に登録されているか確認してください。(注9)
  登録されている場合は、利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリで一意であるか確認してください。一意でない場合は、SSOリポジトリを操作して、正しい状態にしてください。(注5)(注11)

• ユーザ情報を登録するディレクトリサービスにInterstage ディレクトリサービスを使用している場合、利用者が提示した証明書に含まれる[認証に使用する属性]が、SSOリポジトリのユーザ情報に登録されており、かつ一意である場合は、ユーザ情報のオブジェクトクラスに“ssoUser”が設定されているかを確認してください。(注3)

• ユーザ情報を登録するディレクトリサービスにActive Directoryを使用している場合、利用者が提示した証明書に含まれる[認証に使用する属性]が、Active Directoryのユーザ情報に登録されており、かつ一意である場合は、シングル・サインオンの拡張スキーマの設定が正しく設定されているか確認してください。(注11)(注12)

• SSOリポジトリに証明書が登録されているか、または利用者が提示した証明書がSSOリポジトリに登録されている証明書と異なっていないか確認してください。(注10)(注11)

注1)Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]] > [業務システムとの通信の設定] > [利用者への認証失敗原因の通知]を“通知する”と設定し運用している場合は、本原因で該当メッセージが通知されることはありません。

注2)[ユーザ情報の登録先エントリ]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [リポジトリサーバ]、または[リポジトリサーバ(参照系)] > [環境設定]タブの[リポジトリサーバ詳細設定[表示]]、または[詳細設定[表示]]をクリックし、[リポジトリ]を参照してください。

注3)SSOリポジトリへのユーザ情報の登録については、“シングル・サインオン運用ガイド”の“環境構築(SSO管理者編)”－“リポジトリサーバの構築”－“SSOリポジトリへのユーザ情報、ロール定義の登録”を参照してください。

注4)V5.xより本バージョンに移行した場合、リポジトリサーバの定義ファイルの「alternative-uid-attribute」に“uid”以外の属性名が設定されている可能性があります。本設定が“uid”以外の場合、設定されている属性名が利用者の識別情報として使用されます。

注5)ユーザ情報の登録先にInterstage ディレクトリサービスを使用している場合、SSOリポジトリの操作はエントリ管理ツールなどを使用して行います。詳細については、“ディレクトリサービス運用ガイド”の“エントリの管理”を参照してください。

注6)利用者のロックアウト状態の確認については、“シングル・サインオン運用ガイド”の“運用・保守”－“利用者に関する操作”－“利用者のロック状態の確認”を参照してください。

注7)利用者の有効期間の確認については、“シングル・サインオン運用ガイド”の“運用・保守”－“利用者に関する操作”－“利用者の有効期間の確認、変更”を参照してください。

注8)ユーザ情報の「userPassword」属性の登録については、“シングル・サインオン運用ガイド”の“運用・保守”－“利用者に関する操作”－“利用者のパスワードの変更”を参照してください。

注9)[認証に使用する属性]については、Interstage管理コンソールの[システム] > [セキュリティ] > [シングル・サインオン] > [認証基盤] > [認証サーバ] > [環境設定]タブの[詳細設定[表示]]をクリックし、[証明書認証の動作]を参照してください。

注10)V5.xより本バージョンに移行した場合、認証サーバの定義ファイルの「certificate-identification」が“YES”に設定されている可能性があります。本設定が“YES”の場合、利用者が提示した証明書とSSOリポジトリに登録されている証明書の比較が行われます。

注11)Active Directoryの確認方法については、Active Directoryのマニュアルを参照してください。

注12)シングル・サインオンの拡張スキーマの確認については、“トラブルシューティング集”の“Interstage シングル・サインオン運用時の異常”－“トラブル事例”－“ユーザ情報を登録するディレクトリサービスにActive Directoryを使用する場合のトラブル”を参照してください。