フェデレーション認証と SSO トラブルシューティング¶
このトピックでは、ユーザーログインの失敗時に生成されるエラーコードやメッセージなど、フェデレーション認証環境のトラブルシューティングに役立つ情報を提供します。
エラーコード¶
ログインの試行に失敗するたびにエラーが発生します。これらのエラーは、 Snowflake Information Schema または ACCOUNT_USAGE スキーマ から取得できます。
Snowflake Information Schemaは、過去7日間以内のデータを提供し、 LOGIN_HISTORY , LOGIN_HISTORY_BY_USER テーブル関数を使用してクエリを実行できます。
ACCOUNT_USAGE スキーマの LOGIN_HISTORY ビューは、過去1年以内の同様のデータを提供します。
フェデレーション認証エラーコード¶
以下テーブルには、フェデレーション認証に関連するエラーコードとメッセージが含まれています。
エラーコード |
エラー |
説明 |
|---|---|---|
390136 |
FED_REAUTH_PENDING |
IDP からの認証応答は保留中です。 |
390137 |
FED_REAUTH |
フェデレーション認証リクエスト URL が生成されます。 |
390138 |
FED_REAUTH_TIMEOUT |
IDP からの認証応答を待つタイムアウト。 |
390139 |
AUTHENTICATOR_NOT_SUPPORTED |
指定された認証方式は、Snowflakeアカウント構成で受け入れられません。ローカルシステム管理者に連絡して、使用する正しい URL を取得してください。 |
390140 |
FED_PASSWORD_EXPIRED |
IDプロバイダー(IdP)のパスワードの有効期限が切れました。IdP チームにお問い合わせください。 |
390191 |
USERNAMES_MISMATCH |
認証しようとしているユーザーは、 IDP で現在ログインしているユーザーとは異なります。 |
SAML エラーコード¶
ログイン失敗のトラブルシューティングは、エラーメッセージに UUID が含まれているかどうかによって異なります。
SAML SSO ログイン試行の失敗に関連するエラーメッセージが表示され、エラーメッセージに UUID がない場合は、ユーザーが存在することを確認してください。ユーザーが存在する場合、 SAML 応答は無効で、ログイン試行回数が多すぎます。
SAML SSO ログイン試行の失敗に関連するエラーメッセージが表示され、エラーメッセージに UUID が含まれている場合は、ロールに MONITOR 権限が割り当てられている管理者に、以下のステップに従ってエラーの詳細な説明を取得するよう依頼できます。
エラーメッセージで UUID を見つけます。
SAML response is invalid or matching user is not found. Contact your local system administrator. [eb55b777-50a4-4db5-b231-9ee457fb3981]
UUID を SYSTEM$GET_LOGIN_FAILURE_DETAILS 関数の引数として使用し、 JSON_EXTRACT_PATH_TEXT 関数を使用してエラーを抽出します。
SELECT JSON_EXTRACT_PATH_TEXT(SYSTEM$GET_LOGIN_FAILURE_DETAILS('eb55b777-50a4-4db5-b231-9ee457fb3981'), 'errorCode');
次のテーブルでエラーの説明を見つけます。
エラーコード
エラー
説明
390133
SAML_RESPONSE_INVALID
SAML 応答は、不特定の理由で無効でしたが、おそらく不正な形式です(解析中にエラーが発生した場合にも使用されます)。
390165
SAML_RESPONSE_INVALID_SIGNATURE
SAML 応答に無効な署名が含まれています。
390166
SAML_RESPONSE_INVALID_DIGEST_METHOD
SAML 応答に無効な「DigestMethod」属性が含まれているか、完全に省略されています。
390167
SAML_RESPONSE_INVALID_SIGNATURE_METHOD
SAML 応答に無効な「SignatureMethod」が含まれているか、完全に省略されています。
390168
SAML_RESPONSE_INVALID_DESTINATION
SAML 応答の「宛先」属性は、アカウントの有効な宛先 URL と一致しません。
390169
SAML_RESPONSE_INVALID_AUDIENCE
SAML の応答に含まれるオーディエンスが1つだけではないか、オーディエンス URL がオーディエンス URL の予想と一致しません。
390170
SAML_RESPONSE_INVALID_MISSING_INRESPONSETO
SAML アサーションの「InResponseTo」属性がありません。
390171
SAML_RESPONSE_INVALID_RECIPIENT_MISMATCH
「受信者」属性が有効な宛先 URL と一致しません。
390172
SAML_RESPONSE_INVALID_NOTONORAFTER_VALIDATION
これは通常、 SAML アサーションの有効な時間が経過したことを示しています。
390173
SAML_RESPONSE_INVALID_NOTBEFORE_VALIDATION
これは通常、 SAML アサーションが有効になる時間がまだ来ていないことを示しています。
390174
SAML_RESPONSE_INVALID_USERNAMES_MISMATCH
再認証中にログイン名が一致しません。
390175
SAML_RESPONSE_INVALID_SESSIONID_MISSING
再認証中に、ユーザーに対応するセッションが見つかりませんでした。
390176
SAML_RESPONSE_INVALID_ACCOUNTS_MISMATCH
再認証中に、アカウントの名前が一致しないことが判明しました。
390177
SAML_RESPONSE_INVALID_BAD_CERT
SAML 応答に含まれるx.509証明書の形式が正しくないか、予想される証明書と一致しません。
390178
SAML_RESPONSE_INVALID_PROOF_KEY_MISMATCH
認証リクエスト ID に関して、証明キーが一致しません。
390179
SAML_RESPONSE_INVALID_INTEGRATION_MISCONFIGURATION
SAML IdP 構成が無効です。
390180
SAML_RESPONSE_INVALID_REQUEST_PAYLOAD
認証中に、無効なペイロードか、無効なフェデレーション OAuth 接続文字列を使用しています。
390181
SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_BEARER
ベアラーメソッドを使用したサブジェクト確認が欠落しているため、検証できません。
390182
SAML_RESPONSE_INVALID_MISSING_SUBJECT_CONFIRMATION_DATA
サブジェクト確認データがアサーションにありません。
390183
SAML_RESPONSE_INVALID_CONDITIONS
SAML アサーションは、このテーブルにある前の条件とは異なる理由で無効です。
390184
SAML_RESPONSE_INVALID_ISSUER
SAML 応答には、 SAML IDP 設定で設定されたものとは異なる発行者/entityID 値が含まれていました。