Loading
Salesforce から送信されるメールは、承認済ドメインからのみとなります続きを読む

SAML 検証での「レスポンスの署名は無効です」のエラー

公開日: Oct 13, 2022
説明
Salesforce へのログインに正常に使用された SAML レスポンスが誤って復号化されて SAML 検証に渡された場合、以下のエラーが表示されます。
11. 署名を検証しています
レスポンスに署名はありますか? true
アサーションに署名はありますか? true
レスポンスの署名の参照は有効です
アサーションの署名は無効です
アサーションの署名の参照は有効です
重要情報に正しい証明書が提供されていますか? true
署名/証明書の問題
レスポンスの署名は無効です」

 
解決策
SAML レスポンスが書式設定されており、追加の空白や行が含まれている場合、SAML 検証によって実行された署名の検証テストに合格しません。

SAML 検証ツールはテキスト形式または Base 64 エンコードで SAML レスポンスを検証できます。SAML レスポンスが不適切に書式設定されている場合、参照エラーが発生する可能性があります。SAML アサーションを検証し、これらの問題を回避するために、別のツールを使用できます。 

SAML トレーサーを使用して Base 64 SAML レスポンスをキャプチャする方法:
 
1. Firefox で SAML トレーサーツールを開きます。
2. Firefox で Salesforce への SSO ログインを開始します。
3. SAML レスポンスのある POST リクエスト (オレンジ色のタグ付き SAML) を選択します。
4. Base 64 でエンコードされた SAML レスポンスを下部の [パラメータ] タブからコピーします。
5. それを SAML 検証で検証します。 

IdP が Axiom (http://axiomsso.herokuapp.com/Home.action ) の場合に SAML レスポンスをテキスト形式でキャプチャする方法:
 
1. http://axiomsso.herokuapp.com/RequestSamlResponse.action に移動します。
2. [設定] | [セキュリティコントロール] | [シングルサインオン設定] で詳細を入力します。
3. Axiom で SAML レスポンスを要求します。
4. 「テキスト形式の SAML レスポンス」でテキストを検証します。 
または
4. 「Base 64 でエンコードされた SAML レスポンス」でテキストを検証します。

Fiddler で SAML レスポンスをキャプチャする方法:
1. Fiddler でトレースのキャプチャを開始します。 
2. Salesforce への SSO ログインを開始します。
4. トレースで SAML レスポンスのある HTTP POST リクエストを探します。ほとんどの場合、ホストが <MyDomain>.my.salesforce.com または login.salesforcce.com で、パスが /?so=<OrgId>HTTPS プロトコルになります。例: /?so=00D00000000xxxx
5. [WebForms] タブに移動します。[WebForms] タブの本文にエンコードされた SAML レスポンスが表示されます。
6.  [Send to TextWizard (TextWizard に送信)] の値を右クリックします。
7. Base64 から変換するオプションを選択します。 
8. TextWizard に送信したテキスト形式の SAML レスポンスまたは Base64 でエンコードされた SAML レスポンスを検証します。

これらのステップで、SAML レスポンスを正確に検証できます。
11. 署名を検証しています
レスポンスに署名はありますか? true
アサーションに署名はありますか? true
重要情報に正しい証明書が提供されていますか? true
OK」

 
ナレッジ記事番号

000388106

 
読み込み中
Salesforce Help | Article