# SAML と IAM とのフェデレーションをトラブルシューティングする
この情報を使用して、AWS Identity and Access Management で SAML 2.0 とフェデレーションを操作するときに発生する可能性がある問題を診断して修復します。
**Topics**
+ [エラー: Your request included an invalid SAML response。To logout, click here。](#troubleshoot_saml_invalid-response)
+ [エラー: RoleSessionName is required in AuthnResponse (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)](#troubleshoot_saml_missing-rolesessionname)
+ [エラー: Not authorized to perform sts:AssumeRoleWithSAML (service: AWSSecurityTokenService; status code: 403; error code: AccessDenied)](#troubleshoot_saml_missing-role)
+ [エラー: RoleSessionName in AuthnResponse must match [a-zA-Z\$10-9\$1=,.@-]\$12,64\$1 (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)](#troubleshoot_saml_invalid-rolesessionname)
+ [Error: Source Identity must match [a-zA-Z\$10-9\$1=,.@-]\$12,64\$1 and not begin with `"aws:"` (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)](#troubleshoot_saml_invalid-sourceidentity)
+ [エラー: Response signature invalid (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)](#troubleshoot_saml_invalid-metadata)
+ [エラー: 無効なプライベートキー。](#troubleshoot_saml_invalid-private-key)
+ [エラー: プライベートキーの削除に失敗しました。](#troubleshoot_saml_invalid-remove-key)
+ [エラー: キー ID がプライベートキーと一致しないため、プライベートキーを削除できませんでした。](#troubleshoot_saml_invalid-remove-key-mismatch)
+ [エラー: Failed to assume role: Issuer not present in specified provider (service: AWSOpenIdDiscoveryService; status code: 400; error code: AuthSamlInvalidSamlResponseException)](#troubleshoot_saml_issuer-mismatch)
+ [エラー: Could not parse metadata.](#troubleshoot_saml_issuer-metadata)
+ [エラー: ID プロバイダーを更新できません。メタデータまたは暗号化アサーションの更新が定義されていません。](#troubleshoot_saml_unable-to-update)
+ [エラー: プライベートキーが指定されていないため、アサーション暗号化モードを必須に設定できません。](#troubleshoot_saml_issuer-private-key-required)
+ [エラー: 同じリクエストでプライベートキーを追加および削除することはできません。2 つのパラメータのうち 1 つの値だけを設定します。](#troubleshoot_saml_add-remove-keys)
+ [エラー: Specified provider doesn't exist.](#troubleshoot_saml_provider-doesnotexist)
+ [エラー: Requested DurationSeconds exceeds MaxSessionDuration set for this role.](#troubleshoot_saml_duration-exceeds)
+ [エラー: プライベートキーの上限である 2 に達しました。](#troubleshoot_saml_private-key-exceeds)
+ [エラー: Response does not contain the required audience.](#troubleshoot_saml_required-audience)
## エラー: Your request included an invalid SAML response。To logout, click here。
このエラーは、ID プロバイダーからの SAML レスポンスに、`Name` が `https://aws.amazon.com/SAML/Attributes/Role` に設定された属性が含まれない場合に発生することがあります。属性には、それぞれにカンマ区切りの文字列のペアを持つ、1 つ以上の `AttributeValue` エレメントが含まれている必要があります。
+ ユーザーをマッピングできるロールの ARN
+ SAML プロバイダーの ARN
このエラーは、アイデンティティプロバイダーによって送信された SAML 属性値に先頭または末尾の空白のいずれかが含まれている場合にも発生する可能性があります。または、SAML 属性値にその他の無効の文字が含まれている場合にもエラーが発生する可能性があります。SAML 属性の想定値の詳細については、「[認証レスポンス用の SAML アサーションを設定する](id_roles_providers_create_saml_assertions.md)」を参照してください。
詳細については、「[認証レスポンス用の SAML アサーションを設定する](id_roles_providers_create_saml_assertions.md)」を参照してください。ブラウザで SAML レスポンスを表示するには、「[ブラウザに SAML レスポンスを表示する](troubleshoot_saml_view-saml-response.md)」のステップに従います。
## エラー: RoleSessionName is required in AuthnResponse (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)
このエラーは、ID プロバイダーからの SAML レスポンスに、`Name` が `https://aws.amazon.com/SAML/Attributes/RoleSessionName` に設定された属性が含まれない場合に発生することがあります。属性値は、ユーザーの ID で、通常は ID または E メールアドレスです。
詳細については、「[認証レスポンス用の SAML アサーションを設定する](id_roles_providers_create_saml_assertions.md)」を参照してください。ブラウザで SAML レスポンスを表示するには、「[ブラウザに SAML レスポンスを表示する](troubleshoot_saml_view-saml-response.md)」のステップに従います。
## エラー: Not authorized to perform sts:AssumeRoleWithSAML (service: AWSSecurityTokenService; status code: 403; error code: AccessDenied)
このエラーは、SAML レスポンスで指定された IAM ロールのスペルが間違っているか存在しない場合に発生することがあります。ロール名は大文字と小文字が区別されるため、ロールの正確な名前を使用してください。SAML サービスプロバイダー設定のロール名を修正します。
ロール信頼ポリシーに `sts:AssumeRoleWithSAML` アクションが含まれる場合にのみ、アクセスが許可されます。SAML アサーションが [`PrincipalTag`](id_roles_providers_create_saml_assertions.md#saml_role-session-tags) 属性を使用するように設定されている場合、信頼ポリシーにも `sts:TagSession` アクションを含める必要があります。セッションタグの詳細については、「[AWS STS でセッションタグを渡します](id_session-tags.md)」を参照してください。
このエラーは、ロール信頼ポリシーに `sts:SetSourceIdentity` アクセス許可がない場合に発生する可能性があります。SAML アサーションが [`SourceIdentity`](id_roles_providers_create_saml_assertions.md#saml_sourceidentity) 属性を使用するように設定されている場合、信頼ポリシーにも `sts:SetSourceIdentity` アクションを含める必要があります。ソース ID の詳細については、「[引き受けたロールで実行されるアクションのモニタリングと制御](id_credentials_temp_control-access_monitor.md)」を参照してください。
このエラーは、フェデレーティッドプリンシパルがロールを引き受けるアクセス許可がない場合に発生することがあります。ロールには、IAM SAML ID プロバイダーの ARN を `Principal` として指定する信頼ポリシーが必要です。ロールには、ロールを引き受けることができるユーザーを管理する条件も含まれています。ユーザーが条件を満たすことを確認します。
このエラーは、SAML レスポンスに `Subject` を含む `NameID` がない場合に発生することがあります。
詳細については、「[SAML 2.0 フェデレーティッドプリンシパルを有効にして AWS マネジメントコンソール にアクセス](id_roles_providers_enable-console-saml.md)」および「[認証レスポンス用の SAML アサーションを設定する](id_roles_providers_create_saml_assertions.md)」を参照してください。ブラウザで SAML レスポンスを表示するには、「[ブラウザに SAML レスポンスを表示する](troubleshoot_saml_view-saml-response.md)」のステップに従います。
## エラー: RoleSessionName in AuthnResponse must match [a-zA-Z\$10-9\$1=,.@-]\$12,64\$1 (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)
このエラーは、`RoleSessionName` 属性値が長すぎるか、無効な文字が含まれる場合に発生することがあります。有効な最大長は 64 文字です。
詳細については、「[認証レスポンス用の SAML アサーションを設定する](id_roles_providers_create_saml_assertions.md)」を参照してください。ブラウザで SAML レスポンスを表示するには、「[ブラウザに SAML レスポンスを表示する](troubleshoot_saml_view-saml-response.md)」のステップに従います。
## Error: Source Identity must match [a-zA-Z\$10-9\$1=,.@-]\$12,64\$1 and not begin with `"aws:"` (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)
このエラーは、`sourceIdentity` 属性値が長すぎるか、無効な文字が含まれる場合に発生することがあります。有効な最大長は 64 文字です。ソース ID の詳細については、「[引き受けたロールで実行されるアクションのモニタリングと制御](id_credentials_temp_control-access_monitor.md)」 を参照してください。
SAML アサーション作成の詳細については、「[認証レスポンス用の SAML アサーションを設定する](id_roles_providers_create_saml_assertions.md)」 を参照してください。ブラウザで SAML レスポンスを表示するには、「[ブラウザに SAML レスポンスを表示する](troubleshoot_saml_view-saml-response.md)」のステップに従います。
## エラー: Response signature invalid (service: AWSSecurityTokenService; status code: 400; error code: InvalidIdentityToken)
このエラーは、ID プロバイダーのフェデレーションメタデータが、IAM ID プロバイダーのメタデータに一致しない場合に発生することがあります。たとえば、ID サービスプロバイダーのメタデータファイルが、失効した証明書を更新するために変更される場合があります。更新された SAML メタデータファイルを ID サービスプロバイダーからダウンロードします。次に、IAM で定義する AWS ID プロバイダーエンティティで、`aws iam update-saml-provider` クロスプラットフォーム CLI コマンドまたは `Update-IAMSAMLProvider` PowerShell コマンドレットを使ってこれを更新します。
## エラー: 無効なプライベートキー。
このエラーはプライベートキーファイルを適切にフォーマットしてない場合に発生することがあります。このエラーには、プライベートキーが無効である理由に関する詳細が次のように追加されている場合があります。
+ キーが暗号化されています。
+ キー形式が認識されません。プライベートキーファイルは .pem ファイルである必要があります。
AWS マネジメントコンソール で、[IAM で SAML ID プロバイダーを作成する](id_roles_providers_create_saml.md) 場合は、ID プロバイダーからプライベートキーをダウンロードして IAM に提供し、暗号化を有効にする必要があります。プライベートキーは、AES-GCM または AES-CBC 暗号化アルゴリズムを使用して SAML アサーションを復号する .pem ファイルである必要があります。
## エラー: プライベートキーの削除に失敗しました。
このエラーは、SAML 暗号化が必須に設定されていて、リクエストによって IAM SAML プロバイダーの唯一のプライベート復号キーが削除された場合に発生する可能性があります。プライベートキーのローテーションの詳細については、「[SAML 暗号化キーの管理](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption)」を参照してください。
## エラー: キー ID がプライベートキーと一致しないため、プライベートキーを削除できませんでした。
このエラーは、プライベートキーの `keyId` 値が、プロバイダーのプライベートキーファイルのキー ID のいずれとも一致しない場合に発生する可能性があります。
[update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html) または [UpdateSAMLProvider](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html) API オペレーションを使用して SAML 暗号化プライベートキーを削除する場合、`RemovePrivateKey` の値は ID プロバイダーにアタッチされたプライベートキーの有効なキー ID である必要があります。
## エラー: Failed to assume role: Issuer not present in specified provider (service: AWSOpenIdDiscoveryService; status code: 400; error code: AuthSamlInvalidSamlResponseException)
このエラーは、SAML レスポンスの発行元がフェデレーションメタデータファイルで宣言されている発行者と一致しない場合に発生することがあります。メタデータファイルは、ID プロバイダーを IAM で作成したときに AWS にアップロードされました。
## エラー: Could not parse metadata.
このエラーはメタデータファイルを適切にフォーマットしてない場合に発生することがあります。
AWS マネジメントコンソール で、[SAML ID プロバイダーを作成または管理](id_roles_providers_create_saml.md#idp-manage-identityprovider-console)する場合、ID プロバイダーから SAML メタデータドキュメントを取得する必要があります。
このメタデータファイルには発行者の名前、失効情報、およびキーが含まれており、これらを使用して、IdP から受け取った SAML 認証レスポンス (アサーション) を検証できます。メタデータファイルはバイトオーダーマーク (BOM) なしで UTF-8 形式でエンコードする必要があります。BOM を削除するには、Notepad\$1\$1 などのテキスト編集ツールを使用して UTF-8 としてファイルをエンコードできます。
SAML メタデータドキュメントの一部として含まれている X.509 証明書では、少なくとも 1024 ビットのキーサイズを使用する必要があります。また、X.509 証明書には、拡張領域が繰り返されていないことが必要です。拡張領域は使用できますが、証明書に 1 回しか出現できません。X.509 証明書がいずれかの条件を満たしていない場合、IdP の作成は失敗し、「メタデータを解析できない」エラーが返されます。
[SAML V2.0 メタデータ相互運用性プロファイルバージョン 1.0](https://docs.oasis-open.org/security/saml/Post2.0/sstc-metadata-iop-os.html) で定義されているように、IAM は SAML メタデータドキュメントの X.509 証明書の有効期限で評価したりアクションを実行したりすることはできません。期限切れの X.509 証明書について懸念がある場合は、組織のガバナンスとセキュリティポリシーに従って証明書の有効期限をモニタリングし、証明書をローテーションすることをお勧めします。
## エラー: ID プロバイダーを更新できません。メタデータまたは暗号化アサーションの更新が定義されていません。
このエラーは、`update-saml-provider` CLI または `UpdateSAMLProvider` API オペレーションを使用しているにもかかわらず、リクエストパラメータに更新値を指定していない場合に発生する可能性があります。IAM SAML プロバイダーの更新の詳細については、「[IAM で SAML ID プロバイダーを作成する](id_roles_providers_create_saml.md)」を参照してください。
## エラー: プライベートキーが指定されていないため、アサーション暗号化モードを必須に設定できません。
このエラーは、プライベート復号キーを以前にアップロードしておらず、リクエストにプライベートキーを含めずに SAML 暗号化を必須に設定しようとした場合に発生する可能性があります。
`create-saml-provider` CLI、`CreateSAMLProvider` API、`update-saml-provider` CLI、または `UpdateSAMLProvider` API オペレーションを使用して暗号化された SAML アサーションを要求する場合は、IAM SAML プロバイダーにプライベートキーが定義されていることを確認してください。
## エラー: 同じリクエストでプライベートキーを追加および削除することはできません。2 つのパラメータのうち 1 つの値だけを設定します。
このエラーは、プライベートキー値の追加と削除の両方が 1 件のリクエストに含まれている場合に発生する可能性があります。
[update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html) または [UpdateSAMLProvider](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html) API オペレーションを使用して SAML 暗号化プライベートキーファイルをローテーションする場合、そのリクエストではプライベートキーの追加または削除のいずれかしか実行できません。プライベートキーの削除中にプライベートキーを追加すると、オペレーションは失敗します。プライベートキーのローテーションの詳細については、「[SAML 暗号化キーの管理](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption)」を参照してください。
## エラー: Specified provider doesn't exist.
このエラーは、SAML アサーションのプロバイダーの名前が IAM のプロバイダーの名前と一致しない場合に発生することがあります。プロバイダー名の表示の詳細については、「[IAM で SAML ID プロバイダーを作成する](id_roles_providers_create_saml.md)」を参照してください。
## エラー: Requested DurationSeconds exceeds MaxSessionDuration set for this role.
このエラーは、AWS CLI または API からロールを引き受ける場合に発生することがあります。
[assume-role-with-saml](https://docs.aws.amazon.com/cli/latest/reference/sts/assume-role-with-saml.html) CLI または [AssumeRoleWithSAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) API オペレーションを使用してロールを引き受ける場合は、`DurationSeconds` パラメータの値を指定できます。900 秒 (15 分) からロールの最大セッション期間設定までの値を指定できます。この設定よりも高い値を指定した場合、オペレーションは失敗します。たとえば、12 時間のセッションの期間を指定したが、管理者が最大のセッション期間を 6 時間に設定した場合、オペレーションは失敗します。ロールの最大値を確認する方法については、「[ロールの最大セッション期間を更新する](id_roles_update-role-settings.md#id_roles_update-session-duration)」を参照してください。
## エラー: プライベートキーの上限である 2 に達しました。
このエラーは、プライベートキーを ID プロバイダーに追加しようとすると発生する可能性があります。
ID プロバイダーごとに保存できるプライベートキーの数は最大 2 つです。[update-saml-provider](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-saml-provider.html) または [UpdateSAMLProvider](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateSAMLProvider.html) API オペレーションを使用して 3 つ目のプライベートキーを追加しようとすると、オペレーションは失敗します。
新しいプライベートキーを追加する前に、期限が切れたプライベートキーを削除します。プライベートキーのローテーションの詳細については、「[SAML 暗号化キーの管理](id_roles_providers_create_saml.md#id_federation_manage-saml-encryption)」を参照してください。
## エラー: Response does not contain the required audience.
このエラーは、SAML 設定のオーディエンス URL と ID プロバイダーが一致しない場合に発生する可能性があります。ID プロバイダー (IdP) 依存パーティ識別子が SAML 設定で提供されたオーディエンス URL (エンティティ ID) と完全に一致することを確認してください。