その他の問題のトラブルシューティング

このトピックでは、一般的な問題をトラブルシューティングする方法について説明します。

はじめに

Access Gatewayの問題をトラブルシューティングするには、次の前提条件を満たす必要があります。

  • 自分が所属するOkta orgへの管理者アクセス権がある。
  • Access Gateway管理者コンソールへのアクセス権がある。
  • ネットワークアプライアンスやアプリケーションサーバーなどからログを取得して監視できる。

コマンドラインを使ってAccess Gatewayインスタンスに接続すると、SSHエラーが表示される

メッセージ アクセス許可が拒否されました(publickey,gssapi-keyex,gssapi-with-mic)
説明 コマンドラインを使ってAccess Gatewayインスタンスへの接続を試みる際に、oag-mgmtユーザー名が指定されていませんでした。
ログステートメントの例 username$ ssh 100.25.225.222 username@100.25.225.222:Permission denied (publickey, gssapi-keyex,gssapi-with-mic). username $
検証と軽減の手順 Access Gatewayインスタンスに接続する際にoag-mgmtユーザー名を指定します。

時刻が同期していない

Access Gatewayとアプリケーションの間で時刻が同期されていないと、Access GatewayはSAMLアサーションを正しく処理できません。

Access GatewayがSAMLアサーションを検証できない

メッセージ Requester/RequestDenied:パートナーAccess Gatewayアプリケーション名からの次のSAML AuthnRequestを検証できませんでした:
説明 Access Gatewayまたは保護されているアプリコンピューターの時刻が同期されていません。
ログステートメントの例 Apr 3 14:20:18 accessgw01 ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="882d8b2faf" SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="<Remote IP address>" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"] Requester/RequestDenied: Could not validate the following SAML AuthnRequest from partner <Access Gateway Application Name>:
検証と軽減の手順
  1. Access Gateway管理者UIコンソールにサインインします。
  2. 設定タブを選択します。
  3. [Advanced(詳細設定)]を選択します。
  4. 時刻が正確であることを確認します。正確でないときは、[Resync(再同期)]をクリックします。
  5. 更新ボタンをクリックしてシステム時刻を更新し、正しい時刻であることを確認します。
  6. Access Gateway管理者UIコンソールとアプリケーションで時刻を確認します。
  7. 時刻が一致していることを確認してください。

SAMLアサーションの日時が将来のものである

メッセージ 将来有効になるアサーションを受信しました。IdPとSPのクロック同期を確認してください。
説明 保護されているアプリからのSAMLアサーションの日時が将来のものです。
ログステートメントの例 Apr 3 14:20:09 oag01 ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="882d8b2faf"SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="<Remote IP address>" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"] Received an assertion that is valid in the future. Check clock synchronization on IdP and SP.
検証と軽減の手順
  1. Access Gateway管理者コンソールにサインインします。
  2. [Service(サービス)]オプションを選択します。
  3. [NTP]オプションを選択します。
  4. NTPサービスを再起動するオプションを選択します。
  5. Access Gateway管理者UIコンソールの時刻とアプリケーションの時刻が一致していることを確認します。

期限切れのSAMLアサーション

メッセージ 期限切れのアサーションを受信しました。クロックを確認してください。
説明 保護されているアプリからのSAMLアサーションが期限切れです。保護されているアプリをホスティングしているコンピューターで時刻が正しく構成されていない可能性があります。
ログステートメントの例 Apr 4 16:20:11 oag01 ACCESS_GATEWAY ACCESS AUTHN SAML ERROR USER_AUTHN [TYPE="SAML_2_0" TRACKER_ID="d7703c136c" SOURCE="<IDP SSO URL>" RESULT="FAIL" REASON="Invalid SAML Assertion" REMOTE_IP="<Remote IP address>" USER_AGENT="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36"] Received an assertion that has expired. Check clock
検証と軽減の手順
  1. Access Gateway管理者コンソールにサインインします。
  2. [Service(サービス)]オプションを選択します。
  3. [NTP]オプションを選択します。
  4. [Set System Time(システム時刻の設定)]オプションを選択します。
  5. MON DD YYYY HH:MI:SS AM/PM形式で時刻を入力します。
  6. Access Gateway管理者UIコンソールの時刻とアプリケーションの時刻が一致していることを確認します。

ブラウザーがドメインを信頼せず、SAMLリクエストを送信しない

メッセージ 原因:例外:現在のバインディングが見つかりません。
説明 このエラーは、ユーザーがSAMLアサーションの再投稿を続けているか、自己署名付きSSL証明書の承認プロセスでエラーが発生した場合に起こります。
ログステートメントの例 Apr 04 14:19:44 ACCESS ERROR [3137b1cb3f] Caused by: Exception: Unable to find the current binding.
検証と軽減の手順

解決策1:証明書が検証済みであることを確認します。

  1. 返された証明書を開きます。
  2. 証明書が有効であることを確認します。
  3. 証明書が有効でないときは、新しい証明書を要求し、それをAccess Gateway管理者コンソールで更新します。「証明書管理」を参照してください。
  4. アプリケーションへのアクセスをテストします。

解決策2:ブラウザーがアプリケーションのURLを信頼することを確認します。

  1. ブラウザーがアプリケーションのURLを信頼しているかどうかを確認します。
  2. ブラウザーの信頼済みゾーン設定の下に、アプリケーションのURLと他のすべてのAccess Gatewayエンドポイントを追加します。手順については、ブラウザーのドキュメントを参照してください。
  3. ブラウザーを再起動します。
  4. アプリケーションにアクセスできることを確認します。

アプライアンスまたはAccess Gatewayインスタンスの予期せぬ動作

動作 アプライアンスまたはAccess Gatewayインスタンスで予期せぬ動作が生じました。
説明

古くなったページやcookieがブラウザーキャッシュに保存されていると、Access Gatewayとアプリケーションは古いデータを読み込んだり、処理したりすることがあります。
検証と軽減の手順
  1. ブラウザーのキャッシュをクリアします。
  2. アプリケーションとAccess Gatewayにアクセスできることを確認します。

アプリケーション証明書エラー

動作
  • ユーザーがアプリケーションにアクセスすると、ブラウザーが証明書警告を表示します。アプリケーションに進むには、ユーザーはリンクをクリックする必要があります。アプリケーションは開かず、ユーザーにはエラーページが表示されます。
  • 前に使用していたものと同じブラウザーセッションで開くと、アプリケーションは正常に動作します。
説明

この動作は、ブラウザーが証明書を信頼していない場合に発生します。ユーザーが続行リンクをクリックすると、ブラウザーはデータをSAMLエンドポイントにポストせず、SAMLアサーションは失敗します。ユーザーが同じブラウザーセッションでアプリケーションをもう一度開くと、ユーザーが事前に権限を付与してるためにブラウザーはURLを信頼します。アプリケーションは正しいデータをSAMLエンドポイントにポストします。
検証と軽減の手順

この問題をローカルシステムのみで修正します。

Access Gatewayクライアント証明書をブラウザーの信頼済みストアに追加します。手順については、ブラウザーのドキュメントを参照してください。

この問題をすべてのシステムで修正します。

  1. 有効な証明書を入手します。「証明書管理」を参照してください。
  2. Access Gatewayアプライアンスで証明書を更新します。
  3. 必要に応じてロードバランサーで証明書を更新します。

Microsoft Internet Explorerのリダイレクトルーピング

ブラウザーの信頼

動作 Microsoft Internet Explorerのタブは、それ自体で開閉することも、ユーザーをループにリダイレクトすることもできます。
説明 ブラウザーがアプリケーションまたはAccess Gatewayエンドポイントを信頼していません。
検証と軽減の手順

Microsoft Internet Explorerの設定で、Access Gatewayホスト名のエンドポイントのURLとアプリケーションのエンドポイントのURLを[Trusted Zone(信頼済みゾーン)]設定に追加します。

負荷分散

動作 Microsoft Internet Explorerのタブは、それ自体で開閉することも、ユーザーをループにリダイレクトすることもできます。
説明 負荷分散ソリューションを使用している場合、ブラウザーはAccess Gatewayホスト名を1つのノードに解決し、アプリケーションのパブリックドメインを別のノードに解決します。
検証と軽減の手順
  1. ロードバランサーがスティッキーセッションを強制することを確認します。
  2. Access Gatewayホスト名とアプリケーションパブリックドメインに対してpingを実行し、異なるIPアドレスに解決されることを確認します。「Ping」を参照してください。
  3. 正しいIPアドレスと一致するように、ローカルホストファイルまたはDNSエントリを更新します。

無効なIDプロバイダーAPIキー

メッセージ IdP APIトークンがIdPから削除されました。
検証と軽減の手順
  1. Okta org内のIDプロバイダーで新しいIDプロバイダーAPIトークンを作成します。「APIトークンの管理」を参照してください。
  2. Access GatewayでAPIキーを更新します。「Access Gateway内のIDプロバイダーを構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。

アプリ名が同期していない

メッセージ <アプリ名>がIdPと同期していません。このアプリケーションを<IDP Org名>として再作成しますか?
説明 アプリケーションがIDプロバイダーから削除されています。
検証と軽減の手順
  1. Access Gatewayの構成に使用したAPIキーがまだ有効であることを確認します。有効でなければ、次の手順に従います。
  2. Access Gatewayから既存のアプリケーションを削除します。
  3. IDプロバイダーからアプリケーションが削除されていることを確認した上で、アプリを再作成します。
  4. Access Gatewayにアプリケーションを再度追加します。
  5. IDプロバイダーにアプリケーションが作成されていることを確認します。「Access Gateway内のIDプロバイダーを構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。

サイトにアクセスできない、または表示できない

動作 ブラウザーがサイトにアクセスできません。
説明 アプリケーションまたはAccess Gatewayサービスが動作していない、またはDNSエントリがありません。
検証と軽減の手順
  1. Access Gatewayサービスまたはアプリケーションを再起動します。
  2. 必要なDNSエントリをDNSまたはローカルホストファイルに追加します。

アプリのセットアップまたは作成が応答しない

動作 Access Gatewayでアプリケーションの初期セットアップ時または作成時に進行状況インジケーターが長時間回転します。
説明 これは、Access Gatewayが指定のIDプロバイダーにアクセスできない場合に生じます。
ログステートメントの例 Mar 7 17:19:43 localhost.localdomain WEB_CONSOLE IOException occurred validating IDP host :IDP login URL
検証と軽減の手順
  1. Access GatewayアプライアンスがIDプロバイダーに接続できることを確認します。
  2. 接続をブロックしているコンポーネントを探し、IDプロバイダーへの接続を許可します。
  3. Access GatewayアプライアンスからIDプロバイダーへの接続を確認します。
  4. [Client ID(クライアントID)][Client Secret(クライアントシークレット)]の値が正しいことを確認します。
  5. Access GatewayでIDプロバイダーの構成を確認し、設定を保存します。「Access Gateway内のIDプロバイダーを構成する」を参照してください。「Workforce Identity CloudをIdPとして使用する」セクションの手順に従います。

TLSページが表示されない

動作 TLSページが表示されません。
説明 これは、ブラウザーのTLSセキュリティ設定が、Access Gatewayとのセキュアな接続を正しく認証しない場合に生じます。
ログステートメントの例 Apr 16 10:55:41 test-oag icsDefault443Error 2018/04/16 10:55:41 [crit] 18480#0: *3047 SSL_shutdown() failed (SSL: error:140E0197:SSL routines:SSL_shutdown:shutdown while in init) while SSL handshaking, client: Client IP address, server:0.0.0.0:443 Apr 16 10:55:41 test-oag icsDefault443Error 2018/04/16 10:55:41 [crit] 18480#0: *3047 SSL_shutdown() failed (SSL: error:140E0197:SSL routines:SSL_shutdown:shutdown while in init) while SSL handshaking, client: Client IP address, server:0.0.0.0:443
検証と軽減の手順

ブラウザーがTLS 1.1、1.2、1.3を使用していることを確認します。手順については、ブラウザーのドキュメントを参照してください。