SAML Tracerを利用したSAMLレスポンスデータの取得方法 – ペンティオヘルプセンター

OneLoginからクラウドサービスへのSAML認証がうまく通らない、突然ログインできなくなった、一部のユーザーだけ認証できない、といったトラブルが発生した際にその原因を確認するためのツールをご案内いたします。

クラウドサービス事業者や担当者により解析ツールの指定がある場合がございます。

もし担当者から指定があった場合は、指定されたツールで認証レスポンスのデータを取得・送付をお願いいたします。各社各担当者によりツールは異なるケースが多いです。

SAML認証をトレースできるツール

まずはSAML認証をトレースできるサードパーティ製のツールをご紹介します。いずれもサードパーティ製の汎用的なSAML認証解析ツールです。

ここではFirefoxとChromeで共通のアドオンが提供されている「SAML-tracer」をベースに操作手順をご紹介します。それぞれ操作方法は異なりますが、いずれも概ね取得したデータの出力・入力が可能になっており、お客様と担当者が同じツールを利用することで解析が容易になります。

SAML Tracerとは・・・

現在はGoogle ChromeやFirefoxなどで利用できるアドオンとして提供されております。
https://chrome.google.com/webstore/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch
https://addons.mozilla.org/ja/firefox/addon/saml-tracer/

このアドオンを起動してからOneLoginのSAML認証を実行すると通信データからSAMLに関連する通信を抜粋して【SAML】アイコンを表示します。そしてSAML通信を選択すると、SAML認証としてやり取りされているXMLファイルを確認することができます。

▼画面例（Salesforce.comのSAMLレスポンスをトレースした画面）

SAMLレスポンスのトレースとは・・・

OneLoginとクラウドサービスのSAML認証がうまくいかない場合、まずはSAML認証の認証結果（SAMLレスポンス）を取得し、中身を分析します。通常はSAMLレスポンスの分析を弊社（OneLoginベンダー）またはクラウドサービスベンダーの技術担当者が確認します。

技術担当者に正確な調査を依頼するためにも、これらのツールを正しく利用して必要なデータを取得しましょう。この作業は実際にアカウントへのログインができる、お客様にしか操作できない作業です。

〜注意点〜

SAMLレスポンスのトレースはあくまで解析手段のひとつであり、必ず原因を示す情報が含まれているとは限りません。OneLoginの認証情報になんら問題がない場合はSAMLレスポンスをいくら分析してもエラーとなった理由はわかりません。あくまでクラウドサービス（SP）側の内部ログを調査するなどして、各種ログや仕様と突き合わせて確認する必要があります。

SAML Tracerの使い方

それでは具体的にSAML Tracerを利用した場合のトレース方法、データ保存方法をご紹介します。

拡張機能をインストールすると、ブラウザのアドオンが表示される領域にアイコンが増えているはずですので、このアイコンをクリックします
ブラウザとは別ウィンドウが開くので、これを開いた状態のままにします
OneLoginのポータル画面など、SAML認証を開始するURLをブラウザで開きます
OneLoginのポータル画面でクラウドサービスのアイコンをクリックするなどして、シングルサインオンを開始します
シングルサインオンが完了するか、またはエラー画面などが表示されるまで待ち、さきほど開いておいたSAML Tracerの画面にSAML認証の通信がキャッチされていることを確認します
トレースした通信のなかから右端に【SAML】アイコンが最低1ついていることを確認したら、ウィンドウ上部にある【↑Export】ボタンをクリックしてトレースデータをエクスポートします
エクスポートボタンを押すとCookie情報をマスクするか聞かれるので、各社のサポート担当者から指示があるとおりに選択します（指示がない場合はMask valuesで良いと思います）
JSON形式のデータがダウンロードされるので、このファイルを担当者にお送りください