SAML認証

SAML 認証に関する問題について

GitHub Enterprise Server は、失敗した SAML 認証のエラーメッセージを、 _/var/log/github/auth.log_に、認証ログに記録します。応答はこのログファイルで確認できます。詳細を増やしたログ記録を構成することもできます。

SAML 応答の要件について詳しくは、「SAML 構成リファレンス」を参照してください。

SAML デバッグの構成

SAML 認証が試行されるたびに詳細デバッグログを書き込むよう、GitHub Enterprise Server を構成できます。この追加の出力を使用して、失敗した認証試行のトラブルシューティングを行うことができる場合があります。

警告:

SAML デバッグは一時的にのみ有効にし、トラブルシューティングが完了したらすぐにデバッグを無効にします。デバッグを有効にしたままにすると、ファイルのサイズが通常よりも大幅に増え、GitHub Enterprise Server のパフォーマンスに悪影響が出ることがあります。
運用環境で設定を適用する前に、ステージング環境でお使いの GitHub Enterprise Server インスタンスの新しい認証設定をテストします。詳しくは、「ステージングインスタンスのセットアップ」を参照してください。

GitHub Enterprise Server の右上で、ご自分のプロフィールフォトをクリックしてから、 [Enterprise 設定] をクリックします。
Enterprise アカウントのサイドバーで、 [ポリシー] をクリックします。
[ポリシー] で、[オプション] をクリックします。
[SAML デバッグ] でドロップダウンを選択し、 [有効] をクリックします。
SAML IdP を介してお使いの GitHub Enterprise Server インスタンスへのサインインを試みます。
/var/log/github/auth.log のデバッグ出力を確認します。
トラブルシューティングが完了したら、ドロップダウンを選択し、 [無効] をクリックします。

応答のデコード

/var/log/github/auth.log の出力の一部は Base64 エンコードされている場合があります。管理シェルにアクセスし、お使いの GitHub Enterprise Server インスタンスの base64 ユーティリティを使用して、これらの応答をデコードできます。詳しくは、「管理シェル (SSH) にアクセスする」を参照してください。

出力をデコードするには、次のコマンドを実行し、ENCODED_OUTPUT をログからエンコードされた出力に置き換えます。

base64 --decode ENCODED_OUTPUT

エラー:「別のユーザがすでにアカウントを所有しています」

ユーザーが SAML 認証を使って初めてお使いの GitHub Enterprise Server インスタンスにサインインすると、GitHub Enterprise Server によってインスタンスにユーザーアカウントが作成され、SAML NameID と nameid-format がアカウントにマップされます。

ユーザーが再びサインインすると、GitHub Enterprise Server は、アカウントの NameID と nameid-format のマッピングと IdP の応答を比較します。 IdP の応答の NameID または nameid-format が、GitHub Enterprise Server がユーザーに対して想定している値と一致しなくなると、サインインは失敗します。ユーザには次のメッセージが表示されます。

別のユーザが既にアカウントを所有しています。管理者に認証ログを確認するようご依頼ください。

このメッセージは通常、その人のユーザ名またはメールアドレスが IdP で変更されたということを示します。 GitHub Enterprise Server のユーザーアカウントの NameID と nameid-format のマッピングと、IdP 上のユーザーの NameID と nameid-format が一致していることを確認します。詳しくは、「ユーザーの SAML NameID の更新」を参照してください。

SAMLレスポンスが署名されていなかった場合、あるいは署名が内容とマッチしなかった場合、authログに以下のエラーメッセージが残されます。

Recipient がお使いの GitHub Enterprise Server インスタンスの ACS URL と一致しない場合、ユーザーが認証を試みたときに、次の 2 つのエラーメッセージのいずれかが認証ログに表示されます。

Recipient in the SAML response must not be blank.

Recipient in the SAML response was not valid.

IdP の Recipient の値を、お使いの GitHub Enterprise Server インスタンスの完全な ACS URL に設定してください。たとえば、https://ghe.corp.example.com/saml/consume のようにします。

エラー:「SAML レスポンスが署名されていないか、変更されています」

IdP が SAML レスポンスに署名しない場合、または署名が内容と一致しない場合、次のエラーメッセージが認証ログに表示されます。

SAML Response is not signed or has been modified.

IdP で GitHub Enterprise Server アプリケーションの署名済みアサーションを設定していることを確認してください。

エラー:「Audience が無効です」または「アサーションが見つかりません」

IdP の応答に Audience の値がないか、または正しくない場合は、認証ログに次のエラーメッセージが表示されます。

Audience is invalid. Audience attribute does not match https://YOUR-INSTANCE-URL

IdP の Audience の値をお使いの GitHub Enterprise Server インスタンスの EntityId に設定します。これは、インスタンスの完全な URL です。たとえば、「 https://ghe.corp.example.com 」のように入力します。

エラー: "Current time is earlier than NotBefore condition" (現在の時刻は NotBefore 条件より前です)

このエラーは、IdP と GitHub Enterprise Server の間の時間差が大きすぎる場合に発生することがあります。これはセルフホステッド IdP でよく発生します。

この問題を防ぐには、可能であれば、IdP と同じネットワークタイムプロトコル (NTP) ソースを指すようにアプライアンスを設定することをお勧めします。このエラーが発生した場合は、アプライアンスの時刻が NTP サーバーと適切に同期していることを確認します。

IdP の立場で ADFS を使っている場合は、GitHub のために ADFS の NotBeforeSkew も 1 分に設定します。 NotBeforeSkew を 0 に設定すると、ミリ秒などの非常に短い時間差でも認証の問題が発生する可能性があります。

SAML認証

この記事の内容