OneLoginからクラウドサービスへのSAML認証がうまく通らない、突然ログインできなくなった、一部のユーザーだけ認証できない、といったトラブルが発生した際にその原因を確認するためのツールをご案内いたします。
SAML認証をトレースできるツール
まずはSAML認証をトレースできるサードパーティ製のツールをご紹介します。いずれもサードパーティ製の汎用的なSAML認証解析ツールです。
- SAML Message Decoder(Chrome)
- SAML Message Decoder(Firefox)
- SAML Chrome Panel(Chrome)
- SAML DevTools extension(Chrome)
- SAML-tracer(Chrome)
- SAML-tracer(Firefox)
ここではFirefoxとChromeで共通のアドオンが提供されている「SAML-tracer」をベースに操作手順をご紹介します。それぞれ操作方法は異なりますが、いずれも概ね取得したデータの出力・入力が可能になっており、お客様と担当者が同じツールを利用することで解析が容易になります。
SAML Tracerとは・・・
現在はGoogle ChromeやFirefoxなどで利用できるアドオンとして提供されております。
https://chrome.google.com/webstore/detail/saml-tracer/mpdajninpobndbfcldcmbpnnbhibjmch
https://addons.mozilla.org/ja/firefox/addon/saml-tracer/
このアドオンを起動してからOneLoginのSAML認証を実行すると通信データからSAMLに関連する通信を抜粋して【SAML】アイコンを表示します。そしてSAML通信を選択すると、SAML認証としてやり取りされているXMLファイルを確認することができます。
▼画面例(Salesforce.comのSAMLレスポンスをトレースした画面)
SAMLレスポンスのトレースとは・・・
OneLoginとクラウドサービスのSAML認証がうまくいかない場合、まずはSAML認証の認証結果(SAMLレスポンス)を取得し、中身を分析します。通常はSAMLレスポンスの分析を弊社(OneLoginベンダー)またはクラウドサービスベンダーの技術担当者が確認します。
技術担当者に正確な調査を依頼するためにも、これらのツールを正しく利用して必要なデータを取得しましょう。この作業は実際にアカウントへのログインができる、お客様にしか操作できない作業です。
〜注意点〜
SAMLレスポンスのトレースはあくまで解析手段のひとつであり、必ず原因を示す情報が含まれているとは限りません。OneLoginの認証情報になんら問題がない場合はSAMLレスポンスをいくら分析してもエラーとなった理由はわかりません。あくまでクラウドサービス(SP)側の内部ログを調査するなどして、各種ログや仕様と突き合わせて確認する必要があります。
SAML Tracerの使い方
それでは具体的にSAML Tracerを利用した場合のトレース方法、データ保存方法をご紹介します。
- 拡張機能をインストールすると、ブラウザのアドオンが表示される領域に アイコンが増えているはずですので、このアイコンをクリックします
- ブラウザとは別ウィンドウが開くので、これを開いた状態のままにします
- OneLoginのポータル画面など、SAML認証を開始するURLをブラウザで開きます
- OneLoginのポータル画面でクラウドサービスのアイコンをクリックするなどして、シングルサインオンを開始します
- シングルサインオンが完了するか、またはエラー画面などが表示されるまで待ち、さきほど開いておいたSAML Tracerの画面にSAML認証の通信がキャッチされていることを確認します
- トレースした通信のなかから右端に【SAML】アイコンが最低1ついていることを確認したら、ウィンドウ上部にある【↑Export】ボタンをクリックしてトレースデータをエクスポートします
- エクスポートボタンを押すとCookie情報をマスクするか聞かれるので、各社のサポート担当者から指示があるとおりに選択します(指示がない場合はMask valuesで良いと思います)
- JSON形式のデータがダウンロードされるので、このファイルを担当者にお送りください
参考サイト:
https://helpx.adobe.com/jp/enterprise/kb/perform-a-saml-trace.html
https://tech-lab.sios.jp/archives/8287