https://smpdoc.shanon.co.jp/ja/cooperation/ssoidp/chapter008/
FAQ、エラーメッセージ、注意・制限事項
FAQ、エラーメッセージ、注意・制限事項FAQ、エラーメッセージ、注意・制限事項SSOでのログイン時にエラーが出る場合注意・制限事項SSOでのログイン時にエラーが出る場合下記エラーメッセージ一覧をご覧ください。エラーメッセージ種別メッセージ対処方法は?全般不正な処理が行われましたSMPの一般的なログインエラーです。複数タブでの同時ログイン等を避けてください。OIDC/OAuth2client_id,client_secretが正しく設定されていません。連携先に設定されているクライアントID、クライアントシークレットがクライアント詳細画面に表示される値と一致しているかご確認ください。OIDC/OAuth2redirect_uriが正しく設定されていません連携先に設定されているリダイレクトURIがクライアント詳細画面に表示される値と一致しているかご確認ください。OIDC/OAuth2response_typeが正しく設定されていません連携先の設定が、認可コードフローになっていない可能性があります。連携先のRP/OAuth2Clientがインプリシットフロー等に設定されていないか、ご確認ください。OIDC/OAuth2scopeが正しく設定されていません連携先に設定されているスコープがクライアント詳細画面に表示される値と一致しているかご確認ください。OIDC/OAuth2codechallengemethodの値はplainかS256を指定してください。連携先のcode_challenge_methodが、plainまたはS256に設定されているかご確認ください。OIDC/OAuth2付与された認可グラントが不正です。PKCEでcode_challengeを利用した検証に、失敗した場合に表示されます。確認可能であれば、連携先のPKCEの設定や、実装をご確認ください。このエラーについて、弊社側では解決が難しい場合があります。SAMLログインエラー連携先のSPの識別子が、クライアント詳細画面に表示される値と一致しているかご確認ください。連携先のサービスを起点とするSP-initiatedSSOで、ID・パスワードの入力まで3分以上経過した場合にも表示されます。また連携先のURLで発生したエラーについては一旦、連携先の仕様・マニュアル等のご確認をお願いします。注意・制限事項SSO/IdP機能には以下の制限があります。必ずご一読の上、ご利用ください。種別制限事項全般SSO/IdP機能のご利用に際しては、事前にシャノンに利用申込をする必要があります。設定の有効化については、担当営業へご連絡ください。全般SSO/IdP機能のご利用に際しては、リード・管理者の数を対象として利用料金の請求が発生します。管理者の数については、シャノンの管理者・システム管理者を除く数が、対象となります。全般SSO/IdP機能はOIDC/OAuth2/SAMLにのみ対応しています。その他のプロトコルには対応していません。全般連携先での対応方式によっては、上記プロトコルでも機能が利用できない場合があります。例:OIDC/OAuth2のインプリシットフローなど全般お客様が作成された証明書を利用することはできません。SMPが発行する証明書のみ利用できます。クライアント登録・証明書更新時に、SMPが発行する証明書の有効期限は2年です。全般証明書の有効期限が切れた場合、連携先にログインできなくなる可能性があります。証明書の有効期限は、クライアント詳細画面に表示されますので、期限についてはお客様の方での管理をお願いします。サンドボックスサンドボックス先にクライアントの情報はコピーされません。変数国名([%country_master_id%])、都道府県([%prefecture_master_id%])、資料送付・各種情報案内を希望しますか([%permission_type_master_id%])の項目は文字列ではなくidを返却します。idと文言の関連付けについては、SMPの国名一覧、都道府県IDと都道府県名の対応表にあるidをご確認ください。変数リードのラジオボタン型追加項目([%VisitorData.attributeXX%])、チェックボックス型追加項目([%VisitorData.attributeXX%])、プルダウン型追加項目([%VisitorData.attributeXX%])については、文字列ではなくidを返却します。文字列とidの関連付けについては、連携先でidと値を再度関連付けるなどの運用をお願いします。変数SAMLかつ管理者の場合、利用できる変数は[%email%]、[%name1%]、[%name2%]、[%name3%]、[%memo%]、[%company_name%][%user_master_id%](管理者シングルサインオン機能有効時)[%saml_login_name_id%]のみです。変数SSO/IdP機能の変数としてメールテンプレートの差し込み項目や、$FORMなどを利用することはできません。クライアント登録・編集画面のUI上で表示されるものと、マニュアルに記載のあるもののみ利用できます。OIDC/OAuth2認可コードフローにのみ対応しています。インプリシットフロー等には対応していません。また認可/認証エンドポイント(/public/sso/login)への、POSTでのリクエストはサポート外の動作となります。GETでリクエストしてください。OIDC/OAuth2PKCEのcode_challenge_methodには、plainとS256のみ利用できます。plainの利用は非推奨です。PKCEの仕様についてはRFC7636をご確認ください。OIDC管理者での連携の場合、OIDC標準クレーム群を編集することはできません。OIDCOIDC標準クレームの「sub」を編集することはできません。常に以下の内容で設定されます。・リードの場合:visitor|(リードID)・管理者の場合:admin|(管理者ID)OIDC各種エンドポイント情報を提供する、Configurationエンドポイントは利用できません。そのためConfigurationエンドポイントが必須のRelyingPartyはサポート対象外となります。OIDCトークンをrevokeするエンドポイントは利用できません。OIDC/SAMLシングルログアウトは利用できません。OAuth2「OAuth2」を選択した場合、リード情報を取得する変数を利用することはできません。SAMLSP-InitiatedSSO:Redirect/POSTBindingsと、IdP-InitiatedSSO:POSTBindingのみをサポートしています。ArtifactBinding等には対応していません。またPOSTでのSAMLRequestは、サポート対象外となります。GETでリクエストしてください。SAMLSPの識別子は重複できません。SAMLクライアントにSPメタデータの登録はできません。SAML署名付きSAMLRequestには対応していません。SAMLIdPからのSAMLResponseの署名には、RSA-SHA256署名が常に利用されます。SAMLSignatureのDigestValueのダイジェストアルゴリズムには、SHA384が常に利用されます。その他OIDC/OAuth2/SAML自体の技術的な仕様については、OpenIDファウンデーションやOASISなど、外部のサイトをご確認ください。