ディスカッション
Narrative Insights is Temporarily Unavailable due to an Infrastructure Issue. Learn how This Impacts Your Account and What to Expect While the Feature is Disabled.
ADFSからSAML SSOで接続する際のエラー「満たせないNameID PolicyはSAML認証リクエストにふくまれています」
適用
製品: NetSuite 2023.1
SuiteApp/Bundle: NetSuiteモバイルアプリケーション
シナリオ
シングルサインオンログインを使用してNetSuiteモバイルアプリにログインする場合、続行ボタンをタップしても何も起こらず、ADFSログインページに次のエラーメッセージが表示される場合があります。
SAML認証要求に満たすことができなかったNameIDポリシーがありました。
リクエスター:http://www.netsuite.com/sp
名前識別子の形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
SPNameQualifier:http://www.netsuite.com/sp
例外の詳細:
MSIS7070:SAML要求に、発行されたトークンによって満たされないNameIDPolicyが含まれていました。要求されたNameIDPolicy:AllowCreate:True形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SPNameQualifier:http://www.netsuite.com/sp。実際のNameIDプロパティ:形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress、NameQualifier:SPNameQualifier:、SPProvidedId:。
解決策
これを解決するには、ADFSクレームルールを次のように修正する必要があります。
- 現在のルールからルール「電子メール」と「電子メール(Email)を電子メール(email)に変換」を削除します。カスタムルール「アカウント」のみを残し、最初にする必要があります。
- 次の設定で、新しいカスタムルール「Put email into NameID」を追加します。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(
store = "Active Directory",
types = ("customemailclaim"),
query = ";mail;{0}",
param = c.Value
);
- 新しいカスタムルール「Put email into NameID」を追加します。次のように設定します。
c:[Type == "customemailclaim"]
=> issue(
Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier