組織のSSO設定の構成

このページの内容:

組織のSSO設定について

ブランド管理者はSAMLシングルサインオン(英語)(SSO)接続を作成・管理する機能があります。 新しい接続の追加、既存の接続の証明書の更新、ジャストインタイムプロビジョニングなどの設定の変更などができるようになります。 始めるには

  1. 管理者]ページに移動します。
    ウェブサイトの各ページの左上にある最上位のナビゲーションから[管理者]を選ぶ
  2. 組織の設定]に移動します。
    [管理者]ページの[組織の設定]で、左側にある[SSO]を選択する
  3. [SSO]を選択します。
ヒント: 初めてSAML SSOを設定する場合は、セルフサービスポータルを利用して自分で実装する方法と、経験豊富なコンサルタントのサポートを受ける方法があります。 実装コンサルタントとの連携をご希望の方は、営業担当またはカスタマーサクセス担当者までご連絡ください。
ヒント: この場合、クアルトリクスがSPとして機能しますが、IdPの設定はお客様にて社内のIT関連部署との連携を取りつつ実施いただく必要があります。 IdPは「identity provider」の略です。 SPは「service provider」の略です。

接続の追加

このセクションでは、クアルトリクスのライセンスをSAML SSOに接続する方法について説明します。 まず、[組織の設定]の[SSO]タブを開き、[接続を追加]を選択します。

接続ボタンの追加

一般情報

一般情報の設定(概要)

  • 名前: 接続に名前を付けます。 これは入力必須フィールドです。
    ヒント: この名前は、[組織の設定]の[SSO]タブに表示されるため、別に追加した接続と区別することができます。 ログインページには表示されません。
  • 技術関連の連絡先: ITチームの担当者など、技術関連の連絡先のメールアドレスを入力してください。 このSSO接続に関連する技術的な質問や更新がある場合に、クアルトリクスが連絡を取ることのできる担当者です。 このフィールドは任意ですが、入力しておくことを強く推奨します。

プロトコル情報

ヒント: このセルフサービスポータルで利用できるプロトコルはSAMLのみです。 他のSSOプロトコル(英語)の導入に興味がある場合、営業担当に連絡してください。

プロトコル情報]で[SAML]を選択します。

設定内容

SAMLを選択すると、アイデンティティプロバイダ設定を入力する必要があります。また、[サービスプロバイダメタデータをダウンロード]をクリックすると、サービスプロバイダのメタデータをダウンロードすることができます。 これは、初めて接続設定を保存した後にのみ利用できます。

サービスプロバイダ設定画面に、「サービスプロバイダメタデータをダウンロード」というボタンが表示される

ヒント: アイデンティティプロバイダがサービスプロバイダの接続情報を最初に記入することを要求している場合、完全なメタデータファイルをダウンロードする前に、当社のエンティティIDおよびアサーションコンシューマのURLを確認することができます。

IdPポータルでサービスプロバイダ(SP)のメタデータを設定する際には、一般的なアイデンティティプロバイダのガイド(英語)を参考にしてください。

アイデンティティプロバイダ設定をアップロードする

ボタンの説明

IdPメタデータの情報がXML形式で用意されている場合は、[IdPメタデータをアップロード]をクリックし、開いたウィンドウにペーストします。 これにより、次のステップのフィールド(エンティティID、シングルサインオンサービスのバインド、証明書)に、提供された情報が入力されます。

ヒント: IdPのメタデータは、ほとんどの場合、<EntityDescriptor>タグで始まり、<EntityDescriptor>タグで終わる.xmlファイルになります。
ヒント: IdPメタデータの詳細については、こちらのウェブサイト(英語)を参照してください。 なお、こちらのPDFやそれに含まれる情報は当社の所有物ではありません。

エンティティID

エンティティIDは、アイデンティティプロバイダの一意の識別子であり、IdPメタデータに記載されています。 このフィールドは、メタデータのアップロード時に自動入力されますが、手動で追加することもできます。

エンティティIDフィールド

シングルサインオンサービスのバインド

シングルサインオンサービスのバインドは、アイデンティティプロバイダへの接続に使用されるエンドポイントで、IdPメタデータに記載されています。

以下で説明するシングルサインオンサービスのバインドオプション

手動で新しいバインドを追加するには

  1. バインドタイプ]を選択します。 クアルトリクスは現在、HTTP POSTとHTTPリダイレクトをサポートしています。
    ヒント: HTTP POSTが有効な場合、SAMLリクエストは署名されます。
  2. バインドの場所]で、URLを入力します。
  3. バインドを追加]をクリックします。
  4. バインドを追加すると、上部に一覧表示されます。 複数のバインドを追加している場合、有効にするものを1つだけ選択することができます。

バインドを削除するには、バインドの右側にあるごみ箱アイコンを使用します。

証明書

証明書は、SAML接続を認証するために使用されるキーです。 クアルトリクスでは、SPイニシエートログインに署名証明書が必要で、これはIdPのメタデータに記載されています。 IdPイニシエートログインのみを使用する予定の場合は、署名証明書は必要ありません。

警告: SPイニシエート元をサポートし、署名証明書をアップロードすることを強く推奨します。 IdPイニシエートログインのみをサポートすることを選択した場合、SSO経由でサポートポータル、Basecamp、モバイルアプリケーションにログインする際に問題が発生する可能性があります。 内蔵されているテスト機能も動作しません。

証明書セクションの署名がランダムな文字で構成されたテキストブロックとして表示される

新しい証明書を追加するには

  1. 証明書タイプ]を[署名]に設定します。
  2. 証明書]の下に、キーを貼り付けます。
  3. 証明書を追加]をクリックします。

複数の署名証明書を追加することができます。

証明書を削除するには、証明書の右側にあるごみ箱アイコンを使用します。

警告: 証明書は頻繁に期限切れになるため、ITチームに連絡して、クアルトリクスのログインに使用されている証明書が更新されていることを確認してください。 ITチームと協力して、古い証明書の有効期限が切れる前に新しい証明書を追加し、接続テストを行い、更新が正常に行われることを確認してください。

追加オプション

以下の設定はすべて任意です。 これらを有効または無効にする前に、それぞれの機能をよくお読みください。

追加オプション。「署名リクエスト」、「認証を強制」、「アサーション再生防止を有効化」をボタンで切り替える

  • 署名リクエスト AuthN Requestのバインドがあり、署名する必要がある場合は、この設定を有効にしてください。 リクエストの送信者がメッセージを傍受した誰かではなく、クアルトリクスであることを保証するために、アイデンティティプロバイダに送信されるリクエストに署名します。
  • 認証を強制 この機能を有効にすると、クアルトリクスはアクティブなセッションがある場合でもユーザーに認証を行わせるようにIdPを設定します。 IdPがこの種の設定をサポートしている場合のみ動作します。
  • アサーション再生防止を有効化 この機能を有効にすると、すでに検出されたアサーションは再利用されません。これはSAMLリプレイアタックを阻止するための有効な手段です。 このオプションを有効にすることをお勧めします。

ユーザー属性フィールド

このセクションでは、SAML交換で送信する予定の属性の名前に入力します。 入力必須フィールドはメールアドレスのみですが、クアルトリクスでユーザープロフィールを完成させるために、名、姓、ユーザー名フィールドにも入力することを強くお勧めします。 ユーザータイプ、部署、グループの各フィールドは、役割マッピング(英語)に使用できるオプションフィールドです。

すべての属性名は大文字と小文字が区別され、SAMLレスポンスの属性記述セクションに記載されているとおりに正しく記載する必要があります。 クアルトリクスでは、SAMLレスポンスの「NameID」フィールドから認証を行うことができません。

以下で説明されるフィールド

  • メールフィールド: ユーザーのメールを入力するフィールドです。 この項目は必須です。
  • ユーザー名フィールド: メールアドレスとは別のユーザー名が必要な場合に、ユーザー名を入力するフィールドです。 このフィールドは任意で、何も入力されていない場合はメールフィールドがデフォルトとなります。
    ヒント: ベストプラクティスは、独自性があり、不変のフィールドをユーザー名に使用することです。 メールアドレスや、従業員IDなどの一意の識別子がこれにあたります。
  • 名フィールド: ユーザーの名です。 何も入力されていない場合は、メールがデフォルトとなります。
  • 姓フィールド: ユーザーの姓です。 何も入力されていない場合は、メールがデフォルトとなります。
  • ユーザータイプフィールド: ユーザーがクアルトリクスに初めてログインした際に、特定のユーザータイプに割り当てた方がよい場合があります。 詳しくは、「ユーザーの権限の割り当て(英語)」をご覧ください。
    ヒント: 何も定義されていない場合、すべてのユーザーは、デフォルトでブランドのデフォルトのユーザータイプになります。
  • 部署フィールド: ユーザーがクアルトリクスに初めてログインした際に、特定の部署(英語)に割り当てた方がよい場合があります。 詳しくは、「ユーザーの権限の割り当て(英語)」をご覧ください。
  • グループフィールド: ユーザーがクアルトリクスに初めてログインした際に、特定のグループ(英語)に割り当てた方がよい場合があります。 このフィールドが空欄の場合、ユーザーはグループに割り当てられません。 詳しくは、「ユーザーの権限の割り当て(英語)」をご覧ください。

これらの属性名を入力した後、次のセクション、「マッピングオプション」で残りのマッピングを設定することができます。

ヒント: 属性名にはURLを指定することもできます。 これは、ADFSやAzure IdPでよく見られ、次のようになります。

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

属性がどのように記載されているかは、必ずSAMLレスポンスで確認してください。

マッピングオプション

ユーザータイプ、グループ、部署の設定を選択した場合、属性値をクアルトリクスの既存のフィールドにマッピングする必要があります。 どの値がクアルトリクスのどのユーザータイプ、グループ、または部署に対応するかを指定します。

ヒント: 詳細は、SSOドキュメントのユーザーの権限の割り当て(英語)をご覧ください。

「アイデンティティプロバイダの値」には、SAMLレスポンスに表示されている値を入力します。 「クアルトリクスの値」には、該当するタイプ、グループ、または部署を選択します。 その後[マッピングを追加]をクリックします。 これらの手順は、アイデンティティプロバイダが定義したすべての値に対して行う必要があります。

ユーザータイプマッピング

例: 利用しているIdPには「役割」という属性があり、ユーザーが大学のスタッフなのか学生なのかを識別しています。 「役割」は、クアルトリクスのユーザータイプが[参加者]に設定されるときに、「学生」という値を渡します。 「役割」は、クアルトリクスのユーザータイプが[標準アカウント]に設定されるときに、「スタッフ」という値を渡します。

マッピングされたユーザータイプのみにプラットフォームへのアクセスを制限するには、「ユーザータイプを検証する」を選択します。 この場合、ユーザーがSSO経由でクアルトリクスにログインしようとするたびにシステムが属性に渡された値を評価して、1つ以上の値がユーザータイプのマッピング条件に含まれているかを確認します。

ヒント: 詳細は、SSOドキュメントの「ユーザーアクセスの制限(英語)」をご覧ください。

ユーザータイプ、部署、またはグループをマッピングしないことを選択した場合、すべてのユーザーには、管理者タブのユーザータイプで選択されたデフォルトの自己登録ユーザータイプが割り当てられます。

ユーザープロビジョニングオプション

  • ジャストインタイムプロビジョニング: ユーザーがクアルトリクスに存在せず、承認されたメールドメインでSSOによるログインに成功した場合、新しいユーザーを作成します。
  • ユーザー作成を管理者に通知: 特定のクアルトリクスブランドにユーザーが作成されたときに、その管理者に通知します。 この通知を受け取る人は、自己登録のメール通知(英語)で指定できます。
  • 有効なメールドメイン: ライセンスに基づくクアルトリクスアカウントへの登録に使用できるメールドメインを入力してください。 デフォルトではアスタリスク(*)が表示されますが、これは任意のドメインで登録できることを意味します。 複数のドメインをカンマで区切ります。
    ヒント: このリストは、SSO登録にのみ影響します。 ブランドの設定で保存されているほかの有効なメールドメインには影響しません。

ユーザー移行オプション

新しいSSO接続のテスト有効化が完了したら、ライセンスの既存ユーザーのユーザー名を更新する必要がある場合があります。 ユーザーがSSOでログインすると、クアルトリクスは、ユーザー名フィールドに指定した属性を使用して既存のアカウントを持っているかどうかを確認します。 SSOログインが適切な既存のユーザーアカウントと一致するようにするためには、管理タブに表示されているユーザー名が以下の形式である必要があります。

Value_of_Username_field_attribute#organizationID
例: クアルトリクスライセンスの組織IDは「testbrand」で、指定しているユーザー名フィールドが「従業員ID」だとします。 「従業員ID」が「123456」の場合、クアルトリクスでのユーザー名は「123456#testbrand」とする必要があります。
ヒント: SAMLアサーションでは、#OrganizationIDを送信する必要はありません。 これは、クアルトリクスアプリケーション内でのみ表示されます。

ユーザーの移行オプションには、[ログイン時に既存のユーザーに統合]、[ログイン時に既存のユーザー名を変更]などがあります。

ユーザー名をこの形式に更新するには、以下の5つの方法があります。

メソッド1: 既存のユーザー名に#OrganizationIDを追加する

既存のユーザーのユーザー名の末尾に#organizationIDを追加するだけの場合は、[ログイン時に既存のユーザー名を変更]のオプションを有効にしてください。 ユーザーが初めてSSOでログインする際に、ユーザー名の末尾に#organizationIDが自動的に付加されます。

ヒント: このオプションを有効にすることを強くお勧めします。

メソッド2: ジャストインタイムプロビジョニング

ユーザープロビジョニングオプションでジャストインタイムプロビジョニングを有効にしている場合は、[ログイン時に既存のユーザーに結合]のオプションを選択できます。 以下が当てはまる場合、ユーザーには次の画面が表示されます。

  • ブランド内に、ユーザーのSSOユーザー名の値と一致するユーザー名を持つアカウントがまだ存在しない。
  • そのブランドでSSOが有効になった後、ユーザーが初めてログインする。

[初めてログインいただいたようです。このブランドの既存のクアルトリクスアカウントをお持ちですか?]というページが表示され、[はい]または[いいえ]のボタンが表示される

  1. ブランド内ですでにクアルトリクスアカウントを持っているユーザーは、[はい、既存のアカウントがあります]を選択してください。 その後、クアルトリクスアカウントの認証情報を入力し、[アカウントを認証]をクリックします。 これにより、既存のクアルトリクスアカウントのユーザー名が更新され、ログイン時に渡されたユーザーのSSOユーザー名の値と一致します。 以降この画面は表示されません。
    通常のログイン画面で、上部に[このブランドの既存のクアルトリクスアカウントのユーザー名とパスワードを入力してください]と表示されている
  2. ブランド内のクアルトリクスアカウントをまだ持っていないユーザーは[いいえ、既存のアカウントはありません]を選択してください。 プロンプトが表示されたら、[サインイン]をクリックします。 これで、ログイン時に渡されたユーザーのSSOユーザー名の値で、クアルトリクスのアカウントが作成されます。 以降この画面は表示されません。
警告: この方法では、ユーザーの入力が必要なため、ユーザーエラーが発生する可能性があります。

メソッド3: 少数のユーザー

既存のユーザー数が少ない場合は、管理者ページでユーザー名を手動で更新することができます。

メソッド4: 多数のユーザー

既存のユーザー数が多く、ライセンスでAPIを有効にしている場合は、パブリックAPI(英語)を利用してユーザー名を更新することができます。

メソッド5: Employee Experienceライセンス

Employee Experienceプラットフォームを使用している場合は、ファイルアップロード機能(英語)でユーザー名を更新することができます。

警告: 既存のユーザー名を更新しないと、重複したアカウントが作成されたり、ユーザーがプラットフォームへのアクセス権を失ったりする可能性があります。

ダッシュボードの属性

ライセンスにCXダッシュボードまたはEmployee Experience(英語) 製品が含まれている場合、「ユーザー属性」のセクションで定義されている属性以外の追加属性を渡すことができます。 CXダッシュボードでは、これらの追加属性を利用して、SSO認証時にユーザーに役割を自動的に割り当てる(英語)ことができます。 当社のEmployee Experience製品では、Unique ID(英語)という追加属性1つのみを取得することができます。 このフィールドは、すべての参加者に必須で、SSO認証またはファイルアップロード機能(英語)を通じて割り当てられます。

追加属性を追加するには、[ダッシュボードの追加属性を取得]を有効にします。

ボタンで選択された[ダッシュボードの追加属性を取得]オプション。

このオプションを有効にした場合、SAMLレスポンス(英語)の「属性記述」セクションに表示されているとおりに、取得したい属性名を入力します。

ダッシュボードの属性設定 - 名前を入力し、[属性を追加]ボタンをクリックすると、リストに追加される。Unique IDのための特別なフィールドがある

変更の適用と取り消し

ページの右下に白の[取り消し]ボタンと青の[適用]ボタンがある

変更を保存するには、[適用]をクリックします。

ヒント: 入力した項目にエラーがある場合は、このボタンが灰色になることがあります。 変更を適用する前に、それらの問題を解決してください。

画面上で行った変更を適用するのではなく、最後に保存したバージョンに戻したい場合は、[取り消し]をクリックします。

SSO接続の有効化と無効化

ヒント: 一度に最大5つの接続を追加することができますが、有効にできるのは1つのSSO接続のみです。

初めて接続を追加したときは、デフォルトで無効の状態になっています。 SSO接続を有効にすると、ユーザーベース全体のライセンスでSSOログインが有効になったことを示します。

警告: 接続を有効にする前に、接続を完全に実装し、ログインをテストしていることを確認してください

両方のSSO接続が[有効]と表示されている

また、[[組織ID]でクアルトリクスにログイン]というラベルの付いた接続が表示されます。 この接続を無効にすると、すべてのユーザーがSSOを使用してログインする必要があり、ユーザーがクアルトリクスのユーザー名とパスワードを使用してログインするオプションがなくなります。 この接続と追加のSSO接続を同時に有効にすることができます。

ヒント: 組織内でSSO認証を持たない外部のコンサルタントと共同作業を行う際、ほとんどの場合、このオプションを有効にする必要があります。
警告: 接続を無効にすると、ユーザーベース全体のログインが無効になります。 SSO接続が無効になると、ユーザーは別のクアルトリクスのユーザー名とパスワードを使ってログインする必要があります。 接続を無効または有効にする際には、ユーザーベースにどのような影響を与えるかを考慮してください

組織のURL(https://OrganizationID.qualtrics.com)は、SPが開始したSSOログインにリダイレクトされるようになります。 ユーザーエクスペリエンスは、以下の2つのシナリオのいずれかになります。

SSOログインのみを許可した場合のユーザーエクスペリエンス

SSOログインのみを許可した場合ユーザーは組織のURLにアクセスし、自動的にSSO認証フローを経由してリダイレクトされます。

ヒント: 現在アクティブなSSOセッションが実行されていない場合は、ユーザーにSSOログインページが表示されます。 現在アクティブなSSOセッションが実行されている場合、ユーザーはプラットフォームに自動ログインします。

SSOとクアルトリクスの認証情報の両方を許可した場合のユーザーエクスペリエンス

ユーザーにSSOによるログインまたはクアルトリクス認証情報によるログインのいずれかを許可している場合は、ユーザーをランディングページにリダイレクトするオプションがあります。 ユーザーは、[クアルトリクスでログイン]を選択すると、クアルトリクスのログインページにリダイレクトされます。 ユーザーは、[SSOでログイン]を選択すると、SSOのログインページにリダイレクトされます。

ログイン方法を選択:クアルトリクスでログインまたはSSOでログイン

このランディングページを有効にするためには

  1. [組織ID]でクアルトリクスにログイン]という名前の接続を見つけます。
  2. 編集]を選択します。
  3. 組織URLで接続を有効化]と表示されたオプションを選択します。
    クアルトリクスSSO接続の編集画面。説明されている名前の下部のオプション

このオプションを選択しない場合は、組織URLがSSO認証フローにリダイレクトされます。 SSOなしでログインする場合は、以下のいずれかのリンクを使用します。

ヒント: バニティURL(英語)を組織に設定している場合は、バニティURLがブランドのURLに置き換わります。

既存の接続の管理

[組織の設定]タブの[SSO]セクションには、ライセンスに設定されているすべての接続の概要が表示されます。 接続の新規追加、接続の削除または無効化、既存の接続の編集、およびセットアップ中のテスト接続ができます。

リストアップされたすべての接続に、ステータスを有効または無効にするため切り替えボタン、名前、編集ボタン、テストボタン、削除ボタンがある

接続の有効化/無効化

ステータスでは、接続の無効化と有効化を切り替えることができます。 関連する詳細と警告については、SSO接続の有効化と無効化を参照してください。

接続の削除

警告: 接続を削除する際には、ユーザーベースにどのような影響を与えるかを考慮してください。 一度削除した接続は、元に戻すことはできません

削除]をクリックすると、完全にその接続を削除します。

このボタンがクリックされると、警告メッセージを表示するモーダルが開きます。 このモーダルで[削除]をクリックしてアクションを確定する必要があります。

ヒント: 接続のステータスが無効に切り替わるまでは、接続を削除することはできません。 ユーザーが変更の影響を受けないことを確認するまでは、接続を削除しないでください。

強調表示された削除ボタン

接続の編集

編集]ボタンを選択して、接続の設定を変更します。

注意: 有効な接続を編集する際には、ユーザーベースのログインに支障をきたす可能性のあるフィールドの編集に注意してください。

強調表示された編集ボタン

ヒント: このオプションは、特に証明書の更新に有効です。

サービスプロバイダメタデータをダウンロード

初めてSSO接続を保存した後、SSO接続の編集をする際に、サービスプロバイダ設定の下に新しいオプションが表示されます。

サービスプロバイダの設定をダウンロードできるボタン

サービスプロバイダメタデータをダウンロード]をクリックすると、すべてのサービスプロバイダ(SP)のメタデータを含む新しいタブが開きます。

証明書を更新する

証明書は頻繁に期限切れになるため、ITチームに連絡して、クアルトリクスのログインに使用されている証明書が更新されていることを確認してください。 ITチームと協力して、古い証明書の有効期限が切れる前に新しい証明書を追加し、接続テストを行い、更新が正常に行われることを確認してください。

  1. 管理画面で[組織の設定]に移動します。
    SSO接続の横にある[編集]をクリック
  2. SSO]に移動します。
  3. 証明書を更新するSSO接続の隣にある[編集]をクリックします。
  4. 証明書]のセクションまで下にスクロールします。
    新しい証明書の追加
  5. 証明書タイプとして[署名]を選択します。
  6. 新しい証明書を[証明書]ボックスに貼り付けます。
  7. 証明書を追加]をクリックします。
  8. 適用]をクリックして、変更内容を保存します。
    SSO設定の適用ボタン
  9. 接続をテストして、証明書が正しく更新したことを確認します。
    SSO接続の編集ボタンとテストボタン
  10. 編集]をクリックします。
  11. 証明書]のセクションまで下にスクロールします。
    古い証明書の削除
  12. 古い証明書の横にあるごみ箱アイコンをクリックして削除します。
    ヒント: テストに失敗した場合は、新しく追加した証明書を削除し、正しいかどうかを再確認してから、上記の手順を繰り返してもう一度証明書を追加してください。
  13. 完了したら、[適用]をクリックします。
    SSOの詳細設定時の適用ボタン

接続のテスト

SSO接続を設定した後は、意図したとおりに動作しているかどうかをテストすることができます。 [テスト]をクリックすると、接続が開始されます。

テストボタン

ブラウザに新しいタブが開き、認証するためのIdPにリダイレクトされます。 ログインに成功すると、SAML交換でIdPから取得した属性と値を表示するページにリダイレクトされます。

ページに[SSOテストが成功しました]と表示され、取得したすべてのフィールドが一覧表示される

ログインに失敗した場合は、エラーメッセージが表示されます。  トラブルシューティングのセクションを見て、基本的な手順を確認してください。

ヒント: 有効な、または無効な接続の両方をテストすることができます。 有効にする前に、すべての接続をテストすることをお勧めします。

トラブルシューティング

接続テスト中にエラーメッセージが表示された場合は、コードをクリックするか、以下のリストを参照して、そのエラーの詳細および考えられる原因を確認してください。

[SSO接続のテスト中にエラーが発生しました]という赤いテキスト

問題が解決されない場合は、サポートポータルにログインしてご相談ください。 SSOチームには、ログイン時のエラーコードとSAMLレスポンスが必要です。

エラーコード

  • SSO_UNKNOWN_ERROR:不明なエラーが発生しました。 再度ログインを試みるか、サポートに連絡して生成されたエラーコードをお知らせください。
  • SSO_SPS_CONNECTION_ERROR:エラーが発生しました。 Cookie やキャッシュをクリアして、再度ログインしてみてください。
  • SSO_MISSING_USERNAME:サーバーからのSSOレスポンスで、ユーザー名またはメール属性の値が見つかりません。 この属性は必須であるため、SAMLレスポンス(英語)の属性記述セクションに、SSO接続設定のユーザー名フィールドに一致する属性が含まれていることを確認してください。
  • SSO_SAML_MISSING_SSO_BINDING:シングルサインオンのバインドURLがSAML設定に見つかりません。 この値は、SPから開始されるログインに必要な値であるため、SSOの接続設定を確認の上、再度お試しください。
  • SSO_SAML_INVALID_DECRYPTION_CERT:SAMLレスポンスの復号中にエラーが発生しました。 アイデンティティプロバイダの暗号化証明書が、SSO接続用に生成されたサービスプロバイダのメタデータファイルの暗号化証明書と一致しているかどうかを確認してください。
  • SSO_SAML_INVALID_AUDIENCE_RESTRICTION:SAMLレスポンスのオーディエンス制限にエラーがありました(英語)。 正しい値がアイデンティティプロバイダに設定されているか確認してください。 これは、SSO接続用に生成されたサービスプロバイダのメタデータファイルに記載されているアサーションコンシューマサービスロケーションと一致することになっています。
  • SSO_SAML_INVALID_RECIPIENT:SAMLレスポンスの受信者URLにエラーが発生しました(英語)。 正しい値がアイデンティティプロバイダに設定されているか確認してください。 これは、SSO接続用に生成されたサービスプロバイダのメタデータファイルに記載されているアサーションコンシューマサービスロケーションと一致することになっています。
  • SSO_SAML_VALIDATION_ERROR:SAMLレスポンスを検証中にエラーが発生しました(英語)。 アイデンティティプロバイダの設定とクアルトリクスのSSO接続設定を確認して、もう一度試してみてください。