その他の問題のトラブルシューティング
このトピックでは、一般的な問題をトラブルシューティングする方法について説明します。
はじめに
Access Gatewayの問題をトラブルシューティングするには、次の前提条件を満たす必要があります。
- 自分が所属するOkta orgへの管理者アクセス権がある。
- Access Gateway管理者コンソールへのアクセス権がある。
- ネットワークアプライアンスやアプリケーションサーバーなどからログを取得して監視できる。
コマンドラインを使ってAccess Gatewayインスタンスに接続すると、SSHエラーが表示される
| メッセージ |
アクセス許可が拒否されました(publickey,gssapi-keyex,gssapi-with-mic) |
| 説明 |
コマンドラインを使ってAccess Gatewayインスタンスへの接続を試みる際に、oag-mgmtユーザー名が指定されていませんでした。 |
| ログステートメントの例 |
username$ ssh 100.25.225.222
username@100.25.225.222:Permission denied (publickey, gssapi-keyex,gssapi-with-mic).
username $
|
| 検証と軽減の手順 |
Access Gatewayインスタンスに接続する際にoag-mgmtユーザー名を指定します。 |
時刻が同期していない
Access Gatewayとアプリケーションの間で時刻が同期されていないと、Access GatewayはSAMLアサーションを正しく処理できません。
Access GatewayがSAMLアサーションを検証できない
| メッセージ |
Requester/RequestDenied:パートナーAccess Gatewayアプリケーション名からの次のSAML AuthnRequestを検証できませんでした: |
| 説明 |
Access Gatewayまたは保護されているアプリコンピューターの時刻が同期されていません。 |
| ログステートメントの例 |
Apr 3 14:20:18 accessgw01 ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="882d8b2faf"
SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="<Remote IP address>"
USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/65.0.3325.181 Safari/537.36"] Requester/RequestDenied: Could not validate the following SAML
AuthnRequest from partner <Access Gateway Application Name>:
|
| 検証と軽減の手順 |
- Access Gateway管理者UIコンソールにサインインします。
- 設定タブを選択します。
- [Advanced(詳細設定)]を選択します。
- 時刻が正確であることを確認します。正確でないときは、[Resync(再同期)]をクリックします。
- 更新ボタンをクリックしてシステム時刻を更新し、正しい時刻であることを確認します。
- Access Gateway管理者UIコンソールとアプリケーションで時刻を確認します。
- 時刻が一致していることを確認してください。
|
SAMLアサーションの日時が将来のものである
| メッセージ |
将来有効になるアサーションを受信しました。IdPとSPのクロック同期を確認してください。 |
| 説明 |
保護されているアプリからのSAMLアサーションの日時が将来のものです。 |
| ログステートメントの例 |
Apr 3 14:20:09 oag01 ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0"
TRACKER_ID="882d8b2faf"SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion"
REMOTE_IP="<Remote IP address>" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"] Received an assertion that is valid in the future. Check clock synchronization on IdP and SP.
|
| 検証と軽減の手順 |
- Access Gateway管理者コンソールにサインインします。
- [Service(サービス)]オプションを選択します。
- [NTP]オプションを選択します。
- NTPサービスを再起動するオプションを選択します。
- Access Gateway管理者UIコンソールの時刻とアプリケーションの時刻が一致していることを確認します。
|
期限切れのSAMLアサーション
| メッセージ |
期限切れのアサーションを受信しました。クロックを確認してください。 |
| 説明 |
保護されているアプリからのSAMLアサーションが期限切れです。保護されているアプリをホスティングしているコンピューターで時刻が正しく構成されていない可能性があります。 |
| ログステートメントの例 |
Apr 4 16:20:11 oag01 ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="d7703c136c"
SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="<Remote IP address>"
USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/65.0.3325.181 Safari/537.36"] Received an assertion that has expired. Check clock
|
| 検証と軽減の手順 |
- Access Gateway管理者コンソールにサインインします。
- [Service(サービス)]オプションを選択します。
- [NTP]オプションを選択します。
- [Set System Time(システム時刻の設定)]オプションを選択します。
- MON DD YYYY HH:MI:SS AM/PM形式で時刻を入力します。
- Access Gateway管理者UIコンソールの時刻とアプリケーションの時刻が一致していることを確認します。
|
ブラウザーがドメインを信頼せず、SAMLリクエストを送信しない
| メッセージ |
原因:例外:現在のバインディングが見つかりません。 |
| 説明 |
このエラーは、ユーザーがSAMLアサーションの再投稿を続けているか、自己署名付きSSL証明書の承認プロセスでエラーが発生した場合に起こります。 |
| ログステートメントの例 |
Apr 04 14:19:44 ACCESS ERROR [3137b1cb3f] Caused by: Exception: Unable to find the current binding.
|
| 検証と軽減の手順 |
解決策1:証明書が検証済みであることを確認します。
- 返された証明書を開きます。
- 証明書が有効であることを確認します。
- 証明書が有効でないときは、新しい証明書を要求し、それをAccess Gateway管理者コンソールで更新します。「証明書管理」を参照してください。
- アプリケーションへのアクセスをテストします。
解決策2:ブラウザーがアプリケーションのURLを信頼することを確認します。
- ブラウザーがアプリケーションのURLを信頼しているかどうかを確認します。
- ブラウザーの信頼済みゾーン設定の下に、アプリケーションのURLと他のすべてのAccess Gatewayエンドポイントを追加します。手順については、ブラウザーのドキュメントを参照してください。
- ブラウザーを再起動します。
- アプリケーションにアクセスできることを確認します。
|
アプライアンスまたはAccess Gatewayインスタンスの予期せぬ動作
| 動作 |
アプライアンスまたはAccess Gatewayインスタンスで予期せぬ動作が生じました。 |
| 説明 |
古くなったページやcookieがブラウザーキャッシュに保存されていると、Access Gatewayとアプリケーションは古いデータを読み込んだり、処理したりすることがあります。
|
| 検証と軽減の手順 |
- ブラウザーのキャッシュをクリアします。
- アプリケーションとAccess Gatewayにアクセスできることを確認します。
|
アプリケーション証明書エラー
| 動作 |
- ユーザーがアプリケーションにアクセスすると、ブラウザーが証明書警告を表示します。アプリケーションに進むには、ユーザーはリンクをクリックする必要があります。アプリケーションは開かず、ユーザーにはエラーページが表示されます。
- 前に使用していたものと同じブラウザーセッションで開くと、アプリケーションは正常に動作します。
|
| 説明 |
この動作は、ブラウザーが証明書を信頼していない場合に発生します。ユーザーが続行リンクをクリックすると、ブラウザーはデータをSAMLエンドポイントにポストせず、SAMLアサーションは失敗します。ユーザーが同じブラウザーセッションでアプリケーションをもう一度開くと、ユーザーが事前に権限を付与してるためにブラウザーはURLを信頼します。アプリケーションは正しいデータをSAMLエンドポイントにポストします。
|
| 検証と軽減の手順 |
この問題をローカルシステムのみで修正します。
Access Gatewayクライアント証明書をブラウザーの信頼済みストアに追加します。手順については、ブラウザーのドキュメントを参照してください。
この問題をすべてのシステムで修正します。
- 有効な証明書を入手します。「証明書管理」を参照してください。
- Access Gatewayアプライアンスで証明書を更新します。
- 必要に応じてロードバランサーで証明書を更新します。
|
Microsoft Internet Explorerのリダイレクトルーピング
ブラウザーの信頼
| 動作 |
Microsoft Internet Explorerのタブは、それ自体で開閉することも、ユーザーをループにリダイレクトすることもできます。 |
| 説明 |
ブラウザーがアプリケーションまたはAccess Gatewayエンドポイントを信頼していません。 |
| 検証と軽減の手順 |
Microsoft Internet Explorerの設定で、Access Gatewayホスト名のエンドポイントのURLとアプリケーションのエンドポイントのURLを[Trusted Zone(信頼済みゾーン)]設定に追加します。
|
負荷分散
| 動作 |
Microsoft Internet Explorerのタブは、それ自体で開閉することも、ユーザーをループにリダイレクトすることもできます。 |
| 説明 |
負荷分散ソリューションを使用している場合、ブラウザーはAccess Gatewayホスト名を1つのノードに解決し、アプリケーションのパブリックドメインを別のノードに解決します。 |
| 検証と軽減の手順 |
- ロードバランサーがスティッキーセッションを強制することを確認します。
- Access Gatewayホスト名とアプリケーションパブリックドメインに対してpingを実行し、異なるIPアドレスに解決されることを確認します。「Ping」を参照してください。
- 正しいIPアドレスと一致するように、ローカルホストファイルまたはDNSエントリを更新します。
|
無効なIDプロバイダーAPIキー
| メッセージ |
IdP APIトークンがIdPから削除されました。 |
| 検証と軽減の手順 |
- Okta org内のIDプロバイダーで新しいIDプロバイダーAPIトークンを作成します。「APIトークンの管理」を参照してください。
- Access GatewayでAPIキーを更新します。「Access Gateway内のIDプロバイダーを構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。
|
アプリ名が同期していない
| メッセージ |
<アプリ名>がIdPと同期していません。このアプリケーションを<IDP Org名>として再作成しますか? |
| 説明 |
アプリケーションがIDプロバイダーから削除されています。 |
| 検証と軽減の手順 |
- Access Gatewayの構成に使用したAPIキーがまだ有効であることを確認します。有効でなければ、次の手順に従います。
- Access Gatewayから既存のアプリケーションを削除します。
- IDプロバイダーからアプリケーションが削除されていることを確認した上で、アプリを再作成します。
- Access Gatewayにアプリケーションを再度追加します。
- IDプロバイダーにアプリケーションが作成されていることを確認します。「Access Gateway内のIDプロバイダーを構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。
|
サイトにアクセスできない、または表示できない
| 動作 |
ブラウザーがサイトにアクセスできません。 |
| 説明 |
アプリケーションまたはAccess Gatewayサービスが動作していない、またはDNSエントリがありません。 |
| 検証と軽減の手順 |
- Access Gatewayサービスまたはアプリケーションを再起動します。
- 必要なDNSエントリをDNSまたはローカルホストファイルに追加します。
|
アプリのセットアップまたは作成が応答しない
| 動作 |
Access Gatewayでアプリケーションの初期セットアップ時または作成時に進行状況インジケーターが長時間回転します。 |
| 説明 |
これは、Access Gatewayが指定のIDプロバイダーにアクセスできない場合に生じます。 |
| ログステートメントの例 |
Mar 7 17:19:43 localhost.localdomain WEB_CONSOLE IOException occurred validating IDP host :IDP login URL
|
| 検証と軽減の手順 |
- Access GatewayアプライアンスがIDプロバイダーに接続できることを確認します。
- 接続をブロックしているコンポーネントを探し、IDプロバイダーへの接続を許可します。
- Access GatewayアプライアンスからIDプロバイダーへの接続を確認します。
- [Client ID(クライアントID)]と[Client Secret(クライアントシークレット)]の値が正しいことを確認します。
- Access GatewayでIDプロバイダーの構成を確認し、設定を保存します。「Access Gateway内のIDプロバイダーを構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。
|
TLSページが表示されない
| 動作 |
TLSページが表示されません。 |
| 説明 |
これは、ブラウザーのTLSセキュリティ設定が、Access Gatewayとのセキュアな接続を正しく認証しない場合に生じます。 |
| ログステートメントの例 |
Apr 16 10:55:41 test-oag icsDefault443Error 2018/04/16 10:55:41 [crit] 18480#0: *3047 SSL_shutdown() failed
(SSL: error:140E0197:SSL routines:SSL_shutdown:shutdown while in init) while SSL handshaking, client:
Client IP address, server:0.0.0.0:443
Apr 16 10:55:41 test-oag icsDefault443Error 2018/04/16 10:55:41 [crit] 18480#0: *3047 SSL_shutdown() failed
(SSL: error:140E0197:SSL routines:SSL_shutdown:shutdown while in init) while SSL handshaking, client:
Client IP address, server:0.0.0.0:443
|
| 検証と軽減の手順 |
ブラウザーがTLS 1.1、1.2、1.3を使用していることを確認します。手順については、ブラウザーのドキュメントを参照してください。
|
