ADFSからSAML SSOで接続する際のエラー「満たせないNameID PolicyはSAML認証リクエストにふくまれています」

適用

製品:  NetSuite 2023.1
SuiteApp/Bundle:  NetSuiteモバイルアプリケーション

シナリオ

シングルサインオンログインを使用してNetSuiteモバイルアプリにログインする場合、続行ボタンをタップしても何も起こらず、ADFSログインページに次のエラーメッセージが表示される場合があります。

SAML認証要求に満たすことができなかったNameIDポリシーがありました。

リクエスター:http://www.netsuite.com/sp

名前識別子の形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

SPNameQualifier:http://www.netsuite.com/sp

例外の詳細:

MSIS7070:SAML要求に、発行されたトークンによって満たされないNameIDPolicyが含まれていました。要求されたNameIDPolicy:AllowCreate:True形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SPNameQualifier:http://www.netsuite.com/sp。実際のNameIDプロパティ:形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress、NameQualifier:SPNameQualifier:、SPProvidedId:。

解決策

これを解決するには、ADFSクレームルールを次のように修正する必要があります。

1. 現在のルールからルール「電子メール」と「電子メール(Email)を電子メール(email)に変換」を削除します。カスタムルール「アカウント」のみを残し、最初にする必要があります。
2. 次の設定で、新しいカスタムルール「Put email into NameID」を追加します。

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]

=> add(

store = "Active Directory", 

types = ("customemailclaim"), 

query = ";mail;{0}", 

param = c.Value

);

1. 新しいカスタムルール「Put email into NameID」を追加します。次のように設定します。
   c:[Type == "customemailclaim"]
    => issue(
     Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier