メニュー
AWS Identity and Access Management
ユーザーガイド

AWS での SAML 2.0 フェデレーションのトラブルシューティング

この情報を使用して、IAM で SAML 2.0 とフェデレーションを操作するときに発生する可能性がある問題を診断して修復します。

エラー: Your request included an invalid SAML response. To logout, click here.

このエラーは、ID プロバイダからの SAML レスポンスに、Namehttps://aws.amazon.com/SAML/Attributes/Role に設定された属性が含まれない場合に発生することがあります。属性には、それぞれにカンマ区切りの文字列のペアを持つ、1 つ以上の AttributeValue エレメントが含まれている必要があります。

  • ユーザーをマッピングできるロールの ARN

  • SAML プロバイダの ARN

詳細については、「認証レスポンスの SAML アサーションを設定する」を参照してください。ブラウザで SAML レスポンスを表示するには、「トラブルシューティングのためにブラウザで SAML レスポンスを表示する方法」のステップに従います。

エラー: RoleSessionName is required in AuthnResponse (Service: AWSSecurityTokenService; Status Code: 400; Error Code: InvalidIdentityToken)

このエラーは、ID プロバイダからの SAML 応答に、Namehttps://aws.amazon.com/SAML/Attributes/RoleSessionName に設定されていない属性が含まれない場合に発生することがあります。属性値は、ユーザーの ID で、通常は ID または E メールアドレスです。

詳細については、「認証レスポンスの SAML アサーションを設定する」を参照してください。ブラウザで SAML レスポンスを表示するには、「トラブルシューティングのためにブラウザで SAML レスポンスを表示する方法」のステップに従います。

エラー: Not authorized to perform sts:AssumeRoleWithSAML (Service: AWSSecurityTokenService; Status Code: 403; Error Code: AccessDenied)

このエラーは、SAML レスポンスで指定された IAM ロールのスペルが間違っているか存在しない場合に発生することがあります。SAML サービスプロバイダー設定のロール名を修正します。

このエラーは、フェデレーションユーザーにロールを引き受けるアクセス権限がない場合に発生することがあります。ロールには、IAM SAML ID プロバイダの ARN を Principal として指定する信頼ポリシーが必要です。ロールには、ロールを引き受けることができるユーザーを管理する条件も含まれています。ユーザーが条件を満たすことを確認します。

このエラーは、SAML レスポンスに NameID を含む Subject がない場合に発生することがあります。

詳細については、「フェデレーティッドユーザーのために AWS でアクセス権限を確立する」および「認証レスポンスの SAML アサーションを設定する」を参照してください。ブラウザで SAML レスポンスを表示するには、「トラブルシューティングのためにブラウザで SAML レスポンスを表示する方法」のステップに従います。

エラー: RoleSessionName in AuthnResponse must match [a-zA-Z_0-9+=,.@-]{2,64} (Service: AWSSecurityTokenService; Status Code: 400; Error Code: InvalidIdentityToken)

このエラーは、RoleSessionName 属性値が長すぎるか、無効な文字が含まれる場合に発生することがあります。有効な最大長は 64 文字です。

詳細については、「認証レスポンスの SAML アサーションを設定する」を参照してください。ブラウザで SAML レスポンスを表示するには、「トラブルシューティングのためにブラウザで SAML レスポンスを表示する方法」のステップに従います。

エラー: Response signature invalid (Service: AWSSecurityTokenService; Status Code: 400; Error Code: InvalidIdentityToken)

このエラーは、ID プロバイダのフェデレーションメタデータが、IAM ID プロバイダのメタデータに一致しない場合に発生することがあります。たとえば、ID サービスプロバイダのメタデータファイルが、失効した証明書を更新するために変更される場合があります。更新された SAML メタデータファイルを ID サービスプロバイダからダウンロードします。次に、IAM で定義する AWS ID プロバイダエンティティで、aws iam update-saml-provider クロスプラットフォーム CLI コマンドまたは Update-IAMSAMLProvider PowerShell コマンドレットを使ってこれを更新します。

エラー: Failed to assume role: Issuer not present in specified provider (Service: AWSOpenIdDiscoveryService; Status Code: 400; Error Code: AuthSamlInvalidSamlResponseException)

このエラーは、SAML レスポンスの発行元が、IAM で ID プロバイダを作成したときに AWS にアップロードされたフェデレーションメタデータファイルで宣言された発行元に一致しない場合に発生することがあります。