ディスカッション
ADFSからSAML SSOで接続する際のエラー「満たせないNameID PolicyはSAML認証リクエストにふくまれています」
適用
製品: NetSuite 2023.1
SuiteApp/Bundle: NetSuiteモバイルアプリケーション
シナリオ
シングルサインオンログインを使用してNetSuiteモバイルアプリにログインする場合、続行ボタンをタップしても何も起こらず、ADFSログインページに次のエラーメッセージが表示される場合があります。
SAML認証要求に満たすことができなかったNameIDポリシーがありました。
リクエスター:http://www.netsuite.com/sp
名前識別子の形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
SPNameQualifier:http://www.netsuite.com/sp
例外の詳細:
MSIS7070:SAML要求に、発行されたトークンによって満たされないNameIDPolicyが含まれていました。要求されたNameIDPolicy:AllowCreate:True形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress SPNameQualifier:http://www.netsuite.com/sp。実際のNameIDプロパティ:形式:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress、NameQualifier:SPNameQualifier:、SPProvidedId:。
解決策
これを解決するには、ADFSクレームルールを次のように修正する必要があります。
- 現在のルールからルール「電子メール」と「電子メール(Email)を電子メール(email)に変換」を削除します。カスタムルール「アカウント」のみを残し、最初にする必要があります。
- 次の設定で、新しいカスタムルール「Put email into NameID」を追加します。
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(
store = "Active Directory",
types = ("customemailclaim"),
query = ";mail;{0}",
param = c.Value
);
- 新しいカスタムルール「Put email into NameID」を追加します。次のように設定します。
c:[Type == "customemailclaim"]
=> issue(
Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier