シングルサインオンのトラブルシューティング
このガイドを使用して、Workatoでシングルサインオン(SSO)を使用する際に発生するエラーをトラブルシューティングします。
ワークスペースを切り替えられないエラーメッセージ
SAMLベースのSSOを使用してワークスペースにアクセスしようとしているワークスペースアカウント所有者の場合、次のエラーメッセージが表示されることがあります。
Unable to switch workspace: the user doesn't belong to the workspaceこのメッセージは、ワークスペースアカウント所有者であるため、SAMLベースのSSOを使用してWorkatoで認証できないことを意味します。 SAMLベースのSSOを使用する代わりに、ユーザー名とパスワードを使用してワークスペースにサインインする必要があります。
ログインできません:ユーザーがチームに属していません
SAMLベースのSSOを使用してログインしようとすると、次のエラーメッセージが表示されることがあります。
Unable to login: the user doesn't belong to the Teamこのエラーは、ワークスペースアカウント所有者がSAMLベースのSSOを使用して認証しようとした場合に発生します。 ワークスペースアカウント所有者は、SAMLベースのSSOではなく、ユーザー名とパスワードを使用して認証する必要があります。
ログインできないエラーメッセージ
SAMLベースのSSOでログインしようとすると、次のエラーメッセージが表示されることがあります。
Unable to log in: Email invited user is already a memberこのエラーは通常、ユーザーがSAML Just-In-Time(JIT)プロビジョニングまたはSCIMを通じてプロビジョニングされ、削除された後、SAML SSOを使用して再度ログインしようとした場合に発生します。 Workatoのバックエンドでは大文字と小文字が区別され、ユーザー名は自動的に小文字に変換されます。
この問題を修正するには、IDプロバイダー(IdP)のSAML設定を更新し、メールアドレスを小文字に変換する必要があります。 これにより、IdP形式がWorkatoのバックエンドの形式と一致します。 例えば、Oktaでは式toLowerCase(user.email)を使用します。 Azure ADでは、user.mail属性にToLower()関数を適用します。
SAML issuerおよびSP issuerは一意である必要があります
Workatoで複数のワークスペースに対してSSOを有効にすると、SAML issuer and SP issuer should be uniqueエラーメッセージが表示されることがあります。 このエラーは、少なくとも1つのワークスペースに同じIDプロバイダー(IdP)とサービスプロバイダー(SP)のエンティティIDがすでに登録されているために発生します。
このエラーを解決するには、次のトラブルシューティング手順を完了します。
各ワークスペース用に、IDプロバイダープラットフォームでSAML SSOアプリを作成します。
各ワークスペースに一意のエンティティIDを生成するには、SAMLプロバイダーメニューからその他のSAML IdP を選択します。
ワークスペースハンドルを入力します。
メタデータURLを入力します。
保存をクリックします。
SAMLプロバイダーを使用予定のIDプロバイダーに変更します。
保存をクリックします。 エンティティIDは固定されており、保存をクリックした後は変更できません。
Last updated: