その他の問題のトラブルシューティング

このトピックでは、一般的な問題をトラブルシューティングする方法について説明します。

開始する前の確認事項

Access Gatewayの問題をトラブルシューティングするには、次の前提条件を満たす必要があります。

  • 自分が所属するOkta orgへの管理者アクセス権がある。
  • Access Gateway管理コンソールへのアクセス権がある。
  • ネットワークアプライアンスやアプリケーションサーバーなどからログを取得して監視できる。

コマンドラインを使ってAccess Gatewayインスタンスに接続すると、SSHエラーが表示される

メッセージ アクセス許可が拒否されました(publickey,gssapi-keyex,gssapi-with-mic)
説明 コマンドラインを使ってAccess Gatewayインスタンスへの接続を試みる際に、oag-mgmtユーザー名が指定されていませんでした。
ログステートメントの例 
username$ ssh 100.25.225.222
username@100.25.225.222:Permission denied (publickey, gssapi-keyex,gssapi-with-mic).
username $
検証と軽減の手順 Access Gatewayインスタンスに接続する際にoag-mgmtユーザー名を指定します。

時刻が同期していない

Access Gatewayとアプリケーションの間で時刻が同期されていないと、Access GatewayはSAMLアサーションを正しく処理できません。

Access GatewayがSAMLアサーションを検証できない

メッセージ Requester/RequestDenied:パートナーAccess Gatewayアプリケーション名からの次のSAML AuthnRequestを検証できませんでした:
説明 Access Gatewayまたは保護されているアプリコンピューターの時刻が同期されていません。
ログステートメントの例 
Apr  3 14:20:18 accessgw01 ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="882d8b2faf" 
SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="<Remote IP address>" 
USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) 
Chrome/65.0.3325.181 Safari/537.36"] Requester/RequestDenied: Could not validate the following SAML 
AuthnRequest from partner <Access Gateway Application Name>:
検証と軽減の手順
  1. Access Gateway管理者UIコンソールにサインインします。
  2. 設定(Settings)タブを選択します。
  3. 詳細設定(Advanced)を選択します。
  4. 時刻が正確であることを確認します。正確でないときは、再同期(Resync)をクリックします。
  5. 更新ボタンをクリックしてシステム時刻を更新し、正しい時刻であることを確認します。
  6. Access Gateway管理者UIコンソールとアプリケーションで時刻を確認します。
  7. 時刻が一致していることを確認してください。

SAMLアサーションの日時が将来のものである

メッセージ 将来有効になるアサーションを受信しました。IdPとSPのクロック同期を確認してください。
説明 保護されているアプリからのSAMLアサーションの日時が将来のものです。
ログステートメントの例 
Apr  3 14:20:09 oag01 ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" 
TRACKER_ID="882d8b2faf"SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion" 
REMOTE_IP="<Remote IP address>" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 
(KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"] Received an assertion that is valid in the future. 
Check clock synchronization on IdP and SP.
検証と軽減の手順
  1. Access Gateway管理コンソールにサインインします。
  2. サービス(Service)オプションを選択します。
  3. NTPオプションを選択します。
  4. NTPサービスを再起動するオプションを選択します。
  5. Access Gateway管理者UIコンソールの時刻とアプリケーションの時刻が一致していることを確認します。

期限切れのSAMLアサーション

メッセージ 期限切れのアサーションを受信しました。クロックを確認してください。
説明 保護されているアプリからのSAMLアサーションが期限切れです。保護されているアプリをホスティングしているコンピューターで時刻が正しく構成されていない可能性があります。
ログステートメントの例 
Apr  4 16:20:11 oag01 ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="d7703c136c"
SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="<Remote IP address>" 
USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) 
Chrome/65.0.3325.181 Safari/537.36"] Received an assertion that has expired. Check clock
検証と軽減の手順
  1. Access Gateway管理コンソールにサインインします。
  2. サービス(Service)オプションを選択します。
  3. NTPオプションを選択します。
  4. システム時刻の設定(Set System Time)オプションを選択します。
  5. MON DD YYYY HH:MI:SS AM/PM形式で時刻を入力します。
  6. Access Gateway管理者UIコンソールの時刻とアプリケーションの時刻が一致していることを確認します。

ブラウザーがドメインを信頼せず、SAMLリクエストを送信しない

メッセージ 原因:例外:現在のバインディングが見つかりません。
説明 このエラーは、ユーザーがSAMLアサーションの再投稿を続けているか、自己署名付きSSL証明書の承認プロセスでエラーが発生した場合に起こります。
ログステートメントの例 
Apr 04 14:19:44 ACCESS ERROR [3137b1cb3f] Caused by: Exception: Unable to find the current binding.
検証と軽減の手順

解決策1:証明書が検証済みであることを確認します。

  1. 返された証明書を開きます。
  2. 証明書が有効であることを確認します。
  3. 証明書が有効でないときは、新しい証明書を要求し、それをAccess Gateway管理コンソールで更新します。証明書管理を参照してください。
  4. アプリケーションへのアクセスをテストします。

解決策2:ブラウザーがアプリケーションのURLを信頼することを確認します。

  1. ブラウザーがアプリケーションのURLを信頼しているかどうかを確認します。
  2. ブラウザーの信頼済みゾーン設定の下に、アプリケーションのURLと他のすべてのAccess Gatewayエンドポイントを追加します。手順については、ブラウザーのドキュメントを参照してください。
  3. ブラウザーを再起動します。
  4. アプリケーションにアクセスできることを確認します。

予期しないアプリケーションやAccess Gatewayインスタンスの動作

動作 アプライアンスまたはAccess Gatewayインスタンスで予期せぬ動作が生じました。
説明

古くなったページやcookieがブラウザーキャッシュに保存されていると、Access Gatewayとアプリケーションは古いデータを読み込んだり、処理したりすることがあります。
検証と軽減の手順
  1. ブラウザーのキャッシュをクリアします。
  2. アプリケーションとAccess Gatewayにアクセスできることを確認します。

アプリケーション証明書エラー

動作
  • ユーザーがアプリケーションにアクセスすると、ブラウザーが証明書警告を表示します。アプリケーションに進むには、ユーザーはリンクをクリックする必要があります。アプリケーションは開かず、ユーザーにはエラーページが表示されます。
  • 前に使用していたものと同じブラウザーセッションで開くと、アプリケーションは正常に動作します。
説明

この動作は、ブラウザーが証明書を信頼していない場合に発生します。ユーザーが続行リンクをクリックすると、ブラウザーはデータをSAMLエンドポイントにポストせず、SAMLアサーションは失敗します。ユーザーが同じブラウザーセッションでアプリケーションをもう一度開くと、ユーザーが事前に権限を付与してるためにブラウザーはURLを信頼します。アプリケーションは正しいデータをSAMLエンドポイントにポストします。
検証と軽減の手順

この問題をローカルシステムのみで修正します。

Access Gatewayクライアント証明書をブラウザーの信頼済みストアに追加します。手順については、ブラウザーのドキュメントを参照してください。

この問題をすべてのシステムで修正します。

  1. 有効な証明書を入手します。証明書管理を参照してください。
  2. Access Gatewayアプライアンスで証明書を更新します。
  3. 必要に応じてロードバランサーで証明書を更新します。

Microsoft Internet Explorerのリダイレクトルーピング

ブラウザーの信頼

動作 Microsoft Internet Explorerのタブは、それ自体で開閉することも、ユーザーをループにリダイレクトすることもできます。
説明 ブラウザーがアプリケーションまたはAccess Gatewayエンドポイントを信頼していません。
検証と軽減の手順

Microsoft Internet Explorerの設定で、Access Gatewayホスト名のエンドポイントのURLとアプリケーションのエンドポイントのURLを信頼済みゾーン(Trusted Zone)設定に追加します。

負荷分散

動作 Microsoft Internet Explorerのタブは、それ自体で開閉することも、ユーザーをループにリダイレクトすることもできます。
説明 負荷分散ソリューションを使用している場合、ブラウザーはAccess Gatewayホスト名を1つのノードに解決し、アプリケーションのパブリックドメインを別のノードに解決します。
検証と軽減の手順
  1. ロードバランサーがスティッキーセッションを強制することを確認します。
  2. Access Gatewayホスト名とアプリケーションパブリックドメインに対してpingを実行し、異なるIPアドレスに解決されることを確認します。Pingを参照してください。
  3. 正しいIPアドレスと一致するように、ローカルホストファイルまたはDNSエントリを更新します。

無効なIDプロバイダーAPIキー

メッセージ IdP APIトークンがIdPから削除されました。
検証と軽減の手順
  1. Okta org内のIDプロバイダーで新しいIDプロバイダーAPIトークンを作成します。「APIトークンの管理」を参照してください。
  2. Access GatewayでAPIキーを更新します。「Okta orgをIDプロバイダーとして構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。

アプリ名が同期していない

メッセージ <アプリ名>がIdPと同期していません。このアプリケーションを<IDP Org名>として再作成しますか?
説明 アプリケーションがIDプロバイダーから削除されています。
検証と軽減の手順
  1. Access Gatewayの構成に使用したAPIキーがまだ有効であることを確認します。有効でなければ、次の手順に従います。
  2. Access Gatewayから既存のアプリケーションを削除します。
  3. IDプロバイダーからアプリケーションが削除されていることを確認した上で、アプリを再作成します。
  4. Access Gatewayにアプリケーションを再度追加します。
  5. IDプロバイダーにアプリケーションが作成されていることを確認します。「Okta orgをIDプロバイダーとして構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。

サイトにアクセスできない、または表示できない

動作 ブラウザーがサイトにアクセスできません。
説明 アプリケーションまたはAccess Gatewayサービスが動作していない、またはDNSエントリがありません。
検証と軽減の手順
  1. Access Gatewayサービスまたはアプリケーションを再起動します。
  2. 必要なDNSエントリをDNSまたはローカルホストファイルに追加します。

アプリのセットアップまたは作成が応答しない

動作 Access Gatewayでアプリケーションの初期セットアップ時または作成時に進行状況インジケーターが長時間回転します。
説明 これは、Access Gatewayが指定のIDプロバイダーにアクセスできない場合に生じます。
ログステートメントの例 
Mar 7 17:19:43 localhost.localdomain WEB_CONSOLE IOException occurred validating IDP host :IDP login URL
検証と軽減の手順
  1. Access GatewayアプライアンスがIDプロバイダーに接続できることを確認します。
  2. 接続をブロックしているコンポーネントを探し、IDプロバイダーへの接続を許可します。
  3. Access GatewayアプライアンスからIDプロバイダーへの接続を確認します。
  4. クライアントID(Client ID)クライアントシークレット(Client Secret)の値が正しいことを確認します。
  5. Access GatewayでIDプロバイダーの構成を確認し、設定を保存します。「Okta orgをIDプロバイダーとして構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。

TLSページが表示されない

動作 TLSページが表示されません。
説明 これは、ブラウザーのTLSセキュリティ設定が、Access Gatewayとのセキュアな接続を正しく認証しない場合に生じます。
ログステートメントの例 
Apr 16 10:55:41 test-oag icsDefault443Error 2018/04/16 10:55:41 [crit] 18480#0: *3047 SSL_shutdown() failed
(SSL: error:140E0197:SSL routines:SSL_shutdown:shutdown while in init) while SSL handshaking, client: 
Client IP address, server:0.0.0.0:443
Apr 16 10:55:41 test-oag icsDefault443Error 2018/04/16 10:55:41 [crit] 18480#0: *3047 SSL_shutdown() failed
(SSL: error:140E0197:SSL routines:SSL_shutdown:shutdown while in init) while SSL handshaking, client: 
Client IP address, server:0.0.0.0:443
検証と軽減の手順

ブラウザーがTLS 1.1、1.2、1.3を使用していることを確認します。手順については、ブラウザーのドキュメントを参照してください。