2024年8月30日
OneLogin ご契約の皆様
ペンティオ株式会社
IDaaS事業部
OneLogin Engineer&Support Group
平素、お世話になっております。
ペンティオ株式会社 OneLoginサポートチームです。
米国One Identityは、2024年8月30日(金曜日)午前11時から、2024年8月7日(水曜日)12時から延期されておりました8月の機能リリースに伴う計画メンテナンスを実施いたしました。その過程で特定の条件に該当する一部のお客様環境において、OneLoginからSAMLを利用したシングルサインオンが利用できないサービス障害の影響を受けましたことをご報告いたします。同事象の影響を受けられましたお客様にはご迷惑をおかけいたしましたことを深くお詫び申し上げます。
米国One Identityは、サービス障害のインシデント宣言を8月31日(土曜日)午前0時12分に発令し、同日午前3時51分にリリースのロールバックを行い、同日午前4時33分にはシステムが正常に復旧したことが確認され、同時に障害解消が宣言されました。
障害内容についてメーカーからRCAレポートが公開されましたので、以下ご報告いたします。
本記事の更新履歴
- 2024年8月30日(金曜日)15:30頃 本記事を公開いたしました
- 2024年8月30日(金曜日)15:50頃 管理コンソールにアクセスできないエラーを追記しました
- 2024年8月30日(金曜日)19:40頃 SAML認証におけるエラーの一時回避策を追記しました
- 2024年9月 9日(月曜日)16:45頃 RCAレポートが公開されましたため記事を更新しました
※シングルサインオンに関する障害をご報告いただきましたお客様には、8月30日(金曜日)および9月2日(月曜日)に個別に連絡のうえ、弊社サポート部門から状況のご報告をさせていただきました。
障害概要
-
障害種別
- Service Diruption(サービス障害)
- 障害発生時間
- 261分(4時間21分)
※計画メンテナンス中に行われたホットフィックスによる修正対応及びワークアラウンドで事象解決しないお客様が継続して発生したため、インシデント発生を宣言した2024年8月31日(土曜日)午前0時12分から解消を宣言した同日午前4時33分までの時間をサービス障害として認定しております
米国OneIdentity社の障害情報
米国OneLoginのステータスページ
→ SAML Applications Failing with 400:Bad Request error | OneLogin Status Page
米国OneLoginの障害報告書(RCAレポート)
※日本語版はDeepLによる機械翻訳処理となります
現在までの状況
2024年8月31日(土曜日)午前3時時点の画面キャプチャ
計画メンテナンスの実施およびサービス障害発生のタイムラインを掲載いたします。
- 2024年8月30日(金曜日)午前11時00分 計画メンテナンスが開始
- 2024年8月30日(金曜日)午後 0時36分 リリースのデプロイが完了
- 2024年8月30日(金曜日)午後 0時59分 シングルサインオン時にHTTP 400エラーが発生する最初の報告を米国One Identity サポート部門が受領
- 2024年8月30日(金曜日)午後 1時36分 エラー原因の特定に成功し、エンジニアがホットフィックスのための取り組みを開始
- 2024年8月30日(金曜日)午後 3時43分 HTTP 400エラーを回避するワークアラウンドを発見し、ホットフィックスをデプロイするまでの暫定対処としてサポート部門及びお客様と共有
- 2024年8月30日(金曜日)午後 3時45分 エンジニアがホットフィックスをデプロイ開始
- 2024年8月30日(金曜日)午後 5時00分 計画メンテナンス時間を2時間延長
- 2024年8月30日(金曜日)午後 7時00分 計画メンテナンス時間が終了
- 2024年8月30日(金曜日)午後 7時57分 ホットフィックスのデプロイが完了
- 2024年8月31日(土曜日)午前 0時15分 お客様が引き続きHTTP 400エラーを体験しているため、サービス障害のインシデントを発令
- 2024年8月31日(土曜日)午前 3時51分 リリースのロールバックを完了
- 2024年8月31日(土曜日)午前 4時33分 事象解決を確認し、障害解消を発令
障害影響範囲
- USシャードの顧客
のうちアカウントオーナー(Account Owner)のユーザー属性 "Email" 及び "Username" のどちらか片方が空欄となっていたお客様
※ 日本のお客様は原則USシャードです
※ ペンティオのお客様では数社のみの影響です
障害影響サービス
下記サービスが影響を受けました
- Single Sign-On Service (SSO)
発生した事象
OneLoginのアカウントオーナー(Account Owner)のユーザー属性 "Email" 又は "Username" どちらか片方が空欄となっていたお客様において、一部のエンドユーザーがSAMLを利用したシングルサインオンを実施するとHTTP 400エラーが発生し、シングルサインオンが正常に完了できない事象が発生しました。
根本原因
計画メンテナンスによりリリースされた最新のセキュリティ強化ポリシーは、OneLogin テナントのアカウントオーナーのユーザ名と電子メールアドレスが入力されていることを前提としていたため、これらのフィールドのいずれかが空白の場合、一部のエンドユーザがSAMLベースのアプリケーションを起動する際に問題が発生しました。
回復措置
ホットフィックスによる修正が試みられましたが、すべての問題が発生したお客様の解決には繋がらなかったため、計画メンテナンスによりデプロイされたリリースをロールバックすることで完全な回復を行いました。
再発防止策
※RCAに記載が無いため米国One Identityに対して再発防止の要求並びに再発防止策の策定を求めております。確認ができ次第、追記させていただきます(ペンティオ)
回避措置
OneLoginのアカウントオーナー(Account Owner)の"Email" 属性及び "Username" 属性に空欄がないよう、どちらも適切な値を登録いただくことで正常にシングルサインオンができるようになる回避措置がございました。当日も弊社サポート部門からはこのご案内をさせていただきました。
以降は、2024年8月30日(金曜日)に掲載しておりました速報記事内容となります。
速報記事の内容(アーカイブ)
発生している事象
1. SAML認証におけるエラー
8月30日(金)12:38、弊社OneLoginのお客様4社からOneLoginからZoomやSlackなど複数のアプリケーションへのシングルサインオンが一部ユーザーにおいて利用できないとの報告を受領しました。
弊社で再現を試みたところ、事象の発生時刻から15:00時点まで、該当の事象は確認できておりません。
2. OneLoginの管理画面にアクセスできないエラー
8月30日(金)15:20ごろ、弊社OneLoginの複数のお客様からOneLoginの管理画面へアクセスしようとすると、下記画像のように管理画面を開いたタブがホワイトアウトするとの報告を受領しました。弊社で再現を試みたところ、同様の事象が確認できました。
→ 同日15:30ごろ、弊社および複数のお客様のOneLogin環境にて本事象が解消していることを確認いたしました。現在も管理画面が表示されない場合は、ブラウザのリロードやキャッシュを削除していただき、OneLoginに再度ログインしていただくことをお試しください。
SAML認証にエラーが発生しているアプリケーション一覧
- Zoom
- Slack
- Atlassian
- Admina
- Netskope
- AWS
- Figma
- Keeper
影響があるお客様
SAML認証におけるエラー
現在お客様4社にて事象の発生を確認しておりますが、影響の範囲は判明しておりません。
OneLoginの管理画面にアクセスできないエラー
複数のお客様と弊社にて事象の発生を確認しておりますが、影響の範囲は判明しておりません。
現在の状況
現在、既に弊社から米国One Identityの日本市場担当者及びサポート部門に対して緊急ステータスでの報告及び対処に関するリクエストを共有しております。OneLoginをご利用のみなさまにはご不便、ご迷惑をおかけし誠に申し訳ございません。障害状況について、状況がアップデートされ次第本記事にてご案内させていただきます。
一時回避策
1. SAML認証におけるエラー
1.1 OneLoginテナントのAccount Ownerの下記4属性に値を入力する
- Firstname
- Lastname
- Username
OneLoginのAccount Ownerアカウントにて、上記4属性の値*をもれなく入力いただくことでOneLoginポータル画面からのSSOが動作することを複数のお客様にて確認しております。
* 任意の値で構いません。お使いの環境合わせて適切な値をご設定ください。
もしAccount Owner権限をもつ方が不在など、すぐに上記操作を実行できない場合はペンティオヘルプセンターよりご連絡ください。入力してほしい文字列をご連絡いただければ、ペンティオにてAccount OwnerアカウントのEmailもしくはUsernameにご希望の文字列を入力し保存することが可能でございます。
1.2 SP-InitiatedでのSSOを行う
SP-Initiatedでのログインの場合、SSOが成功することを複数のお客様にて確認しております。以下の手順をお試しください。
- OneLoginからログアウトしてください
- 該当アプリケーションのURLへアクセスして頂き、ログインフォームまたはサインインオプションより直接認証情報を入力してください
例)https://zoom.us/ja/signin#/login
- OneLoginにリダイレクトされ、ログインできるかご確認ください
2. OneLoginの管理画面にアクセスできないエラー
事象発生時に回避策は確認できませんでした。
重ねてご不便、ご迷惑をおかけしておりますことをお詫び申し上げます。
何卒よろしくお願い申し上げます。
以上