- 重要な情報
- はじめに
- 用語集
- ガイド
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- Service Management
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
このページでは、SAML (Security Assertion Markup Language) 認証時によく発生するエラーのトラブルシューティングを説明します。
以下のリストにあるエラーメッセージに遭遇した場合、Datadog のマッピング構成または IDP (ID プロバイダー) の構成に問題がある可能性があります。
SAML is not enabled for this org
Arf. Unknown User
There are No Authn Mappings for this User
Assertion could not be validated
SAML NO HANDLE ERROR
No active account for a user
解決するには、具体的なエラーについて、以下のセクションを参照してください。
アカウントで SAML がオフになっています。ログイン方法に移動します。SAML セクションで、Enabled by Default が On に設定されていることを確認します。
注: SAML の構成には、Datadog の Admin Role または Org Management (org_management
) 権限が必須です。
Datadog のマッピングコンフィギュレーションと IdP のコンフィギュレーションにミスマッチがあります。ロールエラーを参照してください。
Datadog で IdP 起動ログインを有効にした後、IdP コンフィギュレーションの Assertion Consumer Service (ACS) URL が正しくないことがあります。または、アサーションが未署名である可能性もあります。詳細については、アサーションと属性を参照してください。
アサーションに必要な eduPersonPrincipalName
属性が欠けている可能性があります。コンフィギュレーションにこの属性が設定されていることを確認してください。詳細については、アサーションと属性を参照してください。
このエラーは、次のような場合に発生する可能性があります。
There is no active account for error
が発生した場合、User settings でユーザーを再有効化してください。IdP メタデータファイルの更新に問題がある場合、アップロードしようとするメタデータファイルが有効であることを確認してください。
メタデータファイルの検証を行うには
マッピングを有効にすると、Datadog アカウントに SAML でログインするユーザーは、現在のロールを永久に剥奪されます。Datadog は、IdP から渡された SAML アサーションの詳細に基づいて、新しいロールを割り当てます。
SAML でログインし、Datadog のロールに対応する値を持っていないユーザーは、すべてのロールが永久に剥奪されます。そのユーザーは、今後ログインすることができなくなります。
グループマッピングを設定してもロールが表示されない場合、Datadog アプリケーションのグループマッピングが IdP で異なって表示される可能性があります。確認するには
<saml2:Attribute Name="member_of"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"
>
<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string"
>name_of_your_group_goes_here</saml2:AttributeValue>
</saml2:Attribute>
memberof
が Datadog の set 属性であり、SAML アサーションでは member_Of
である場合、それに応じて解決します。属性キーと値の間に一致がない、またはミスマッチがある場合、不一致が発生することがあります。たとえば、SAML Group Mappings で memberOf
と name_of_your_group_goes_here
というキーと値のペアがあった場合、このペアは IdP から送信されるアサーションに含まれていないため、問題に直面することになります。
ロールベースのエラーが原因でログインに問題がある場合、管理者に連絡して上記のトラブルシューティング手順を完了させてください。
注:
各 IdP は異なる種類の属性を提供し、属性の設定方法も異なります。例えば、Azure ではオブジェクト ID を属性に使用していますが、Okta を使用している場合は Okta 設定で属性を設定する必要があります。詳しくは、IdP の属性に関するドキュメントを参照してください。
SAML Group Mappings を無効にすると、IdP でグループメンバーシップが変更された場合でも、ユーザーは SAML でログインし、割り当てられた同じロールを持つことができるようになります。
Google、Active Directory、Azure、LastPass、Okta など、お使いの IdP からエラーが発生した場合は、こちらをご覧ください。
アカウントにログインできない場合、IdP 証明書が期限切れでローテーションされ、一般的な SAML エラーが発生している可能性があります。
証明書の問題があるかどうかを絞り込むために、いくつかの質問をします。
解決するには、IdP の証明書が IdP の設定内で最新であることと、Datadog で IdP から最新のメタデータファイルをアップロードしていることを確認してください。
それでも Datadog にログインできない場合は、Datadog サポートに連絡してください。
メッセージの中で、ログインプロセスの画面記録を提供し、以下の質問に対する回答も含めてください。
Datadog のサポートに連絡する前に、管理者に連絡してください。また、ログインの問題を解決するために、ID プロバイダーに連絡する必要がある場合があります。
お役に立つドキュメント、リンクや記事: