SSO 設定をトラブルシューティングする公開プレビュー
SSO 設定時の設定チェックエラーを解決します。
アカウントで SSO を設定する際は、SSO の設定を保存する前にテストすると、SSO 設定の誤りやユーザーのロックアウトを防ぐことができます。テストウィザードでエラーが検出された場合は、このガイドを使用してエラーを理解し、解決してください。
| エラー | 説明 | 解決策 |
|---|---|---|
| SAML リクエストの有効期限が切れています | SAML リクエストに、無効になったタイムスタンプが含まれていました。通常は、ユーザーが最近認証されたことを確認するために、SAML リクエストに時間制限が設けられています。 | 再度サインインを試みて、ID プロバイダーから新しい SAML アサーションを生成します。 |
| SAML レスポンスが無効です | ID プロバイダー (IdP) から受信した SAML レスポンスが想定される形式に従っていないか、正しくない情報が含まれています。 | SAML Tracer (Chrome 用) などのツールを使用して、SAML レスポンスを確認します。 |
| カード発行会社 ID が無効です | SAML レスポンスのカード発行会社 ID (エンティティ ID とも呼ばれる) が、 Stripe で設定されているカード発行会社 ID と一致しません。 | ご利用中の ID プロバイダーにログインして、連携設定に移動します。 Stripe アプリのカード発行会社 ID と、Stripe で設定したカード発行会社 ID が一致していることを確認します。 |
| ID プロバイダーの URL が無効です | ユーザーを ID プロバイダーのログイン画面にリダイレクトするために Stripe で設定されている ID プロバイダーの URLが正しくないか、到達できません。 | ご利用中の ID プロバイダーにログインして、連携設定に移動します。 Stripe アプリの ID プロバイダーの URL と、Stripe の設定が一致していることを確認します。 |
| ID プロバイダーの証明書が無効です | ID プロバイダーによって提供された証明書が無効であるか、信頼できません。 | 正しい ID プロバイダーの証明書を使用していることを確認します。多くの場合、最新の証明書は、ID プロバイダーのダッシュボードのセキュリティー設定にあります。証明書が変更された場合は、新しい証明書をダウンロードして、SSO 設定の既存の証明書を置き換えてください。 |
| ユーザーが確認済みのドメインに属していません | 認証を行おうとしているユーザーは、許可されたドメインに属していません。 | ユーザーのメールアドレスに関連付けられたドメインを確認します。ユーザーにアクセス権を付与する必要がある場合は、ID プロバイダーでユーザーのアカウント設定を確認します。ユーザーのメールアドレスが、SSO に使用できるドメインと一致していることを確認します。変更する必要がある場合は、ID プロバイダーでユーザーのアカウントを更新します。 |
| ユーザーの役割が見つかりませんでした | SAML レスポンスで、ユーザーの役割が見つかりませんでした。 | ユーザーの役割のアサーションを送信するように ID プロバイダーが設定されていることを確認します。ID プロバイダーでユーザーに関連付けられた役割を見直し、適切に割り当てられていることを確認します。使用可能な役割のリストとその設定方法については、役割に関するドキュメント をご覧ください。 |
| iD プロバイダーから役割の割り当てが無効です | SAML レスポンスの役割のアサーションが見つからないか、無効です。 | 必要な役割のアサーションを送信するように ID プロバイダーが設定されていることを確認します。 ID プロバイダーの設定と役割のマッピングを見直します。役割のアサーションが不足している場合は、ID プロバイダーのドキュメントや ID プロバイダーのサポートで、適切な設定方法を確認してください。詳細な手順については、Stripe の 役割アサーションガイドをご覧ください。 |
よくある質問
アプリケーションを設定するときに次のエラーが表示されます:
{"error":{"message":"Required field","param":"RelayState"}}アプリケーションの設定時にこのエラーが発生した場合は、サービスプロバイダー起点の認証をサポートしていないアイデンティティープロバイダーから認証を開始しようとしている可能性があります。Stripe は、アイデンティティープロバイダーがサービスプロバイダー起点の認証もサポートしている場合にのみアイデンティティープロバイダー起点の認証をサポートします。これは、ご利用のアイデンティティープロバイダーが、アサーションで認証リクエストからの RelayState パラメーターを正しく渡していないために発生したこともあります。
Stripe にサインインするときに次のエラーメッセージが表示されます:
SAML. Error: Invalid signature typeこのエラーは、SAML レスポンスが適切なアルゴリズムで署名されていない場合に発生します。署名アルゴリズムは
RSA-SHA256、ダイジェストアルゴリズムはSHA256である必要があります。SHA-256 は業界標準のハッシュ化アルゴリズムであるため、Stripe ではセキュリティ上の理由からこれを適用しています。以前の標準である SHA-1 は十分に安全であるとは見なされなくなりました。SHA-256 を使用するように実装を設定する手順については、アイデンティティープロバイダーのドキュメントをご確認ください。SSO で ログインUI を使用できません:
SSO の設定後にこのエラーが発生した場合は、ドメインが検証されていない可能性があります。ユーザー認証ページで、メールアドレスに使用しているドメインと完全に同じドメインが検証されていることをご確認ください。
アイデンティティープロバイダーの設定が異なる複数のアカウントで同じドメインを検証している場合、Stripe では使用するアイデンティティープロバイダーを認識できません。この場合は、検証済みのドメインを含む次の URL を使用して、SSO でアカウントに直接サインインしてください。この URL には、対象のドメインと、認証を受けるアカウントが含まれています。URL の末尾のアカウントトークンを変更すると、別のアカウントで認証を受けることになります。
https://dashboard.stripe.com/login/saml_direct/domain/{{YOUR_DOMAIN}}/merchant/{{STRIPE-ACCOUNT-ID}}SSO で管理されていない別のアカウントがあり、そのアカウントのメールアドレスが検証済みでない場合は、そのメールアドレスを確認してからもう一度お試しください。
サインインしようとすると、役割が必要であるというエラーが表示されます:
SSO の設定後にこのエラーが発生した場合、アイデンティティープロバイダーの SAML アサーションでユーザーの役割を受け取っていない可能性があります。Stripe に送信されるアサーションに次の属性が含まれていることを確認してください。
<saml2:AttributeStatement> <saml2:Attribute Name="Stripe-Role-" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement>この属性が含まれている場合は、有効な
role_を送信していることを確認してください。id CSRF トークンに問題があることを示すエラーメッセージが表示されます:
アイデンティティープロバイダーで URL を正しく設定していることを確認します。ドキュメントの SSO URL と Audience URI (オーディエンス URI) または Entity ID (エンティティー ID) に特に注意して、特定のアイデンティティープロバイダーでこれらを正しく入力するようにしてください。
Stripe ダッシュボードからロックアウトされるとどうなりますか?
Stripe ダッシュボードからロックアウトされたチームメンバーが 1 人の場合、通常はアイデンティティープロバイダー内でそのチームメンバーの設定が正しくないことが原因です。一般的には、SAML 認証リクエストに、そのチームメンバーがアクセスを希望する Stripe アカウントに応じた役割が含まれていないことが問題となります。チームメンバーからアイデンティティープロバイダーの管理者に問い合わせて、適切に設定されていることを確認する必要があります。
すべてのチームメンバーが Stripe ダッシュボードからロックアウトされている場合、SSO 設定が正しくないか、またはアイデンティティープロバイダーに問題 (サービス停止など) が発生している可能性があります。その場合、アカウント代表者が Stripe サポートまでお問い合わせください。本人確認をしてから、Stripe がアカウントの SSO 設定を
RequiredからOptionalに変更し、アイデンティティープロバイダーの管理者がサインインして設定を修正できるようにします。Stripe は SCIM に対応していますか?
Stripe は SCIM に対応していません。チームメンバーをアイデンティティープロバイダーに追加している場合、Stripe はそのチームメンバーのジャストインタイム作成に対応します。つまり、チームメンバーが SSO を使用して Stripe ダッシュボードにサインインした際に、このメンバーに既存の Stripe アカウントがない場合、このメンバーのアカウントが作成されます。チームメンバーのダッシュボードの役割が変更された場合、Stripe はそのチームメンバーが次にサインインした時点で役割を更新します。
Stripe モバイルアプリへの認証に SSO を使用できますか?
Stripe は、モバイルアプリを介した SSO には対応していません。
SSO セッションの長さはどれくらいですか?この長さは設定可能ですか?
SSO セッションの長さは 12 時間に設定されており、この設定を変更することはできません。
複数の Stripe アカウントをサポートする場合、Okta の構造はどのようなものが最適ですか?
1 つの Okta アプリを使用し、各アカウントに役割属性を割り当てることをお勧めしています。アカウントの各チームメンバーに異なる値を割り当てるには、チームメンバーのプロフィールとグループ情報にアクセスするための Okta 式を使用して、値を動的にレンダリングします。Okta の式言語については、こちらをご覧ください。
Stripe ダッシュボードでチームメンバーの役割を引き続き管理できますか?
アイデンティティープロバイダーは Stripe ダッシュボードに対する認証と承認の両方を制御します。アイデンティティープロバイダーを認証に使用し、ダッシュボードで役割を管理することをサポートしていません。ダッシュボードでの役割がアイデンティティープロバイダーによって設定された役割と異なっている場合、チームメンバーが次回サインインしたときに、ダッシュボードでの役割は AttributeStatement で指定されている役割に更新されます。
チームメンバーに異なる役割を割り当てることはできますか?
サインインするときに、アイデンティティープロバイダーは AttributeStatement で正しいチームメンバーの役割を送信する必要があります。実際の例については、Okta のグループを追加してユーザーの動的な役割をマッピングするをご覧ください。
1 つの SAML アサーションを使用して複数のアカウントにサインインするにはどうすればよいですか?
ご使用のアイデンティティープロバイダーからのアサーションに、アクセス権を設定しようとしているすべてのアカウント ID を指定した複数の役割属性が含まれている必要があります。このアサーションを Stripe にお送りください。次に例を示します。
<saml2:AttributeStatement> <saml2:Attribute Name="Stripe-Role-STRIPE-ACCOUNT-ID1" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name="Stripe-Role-STRIPE-ACCOUNT-ID2" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:AttributeValue>role_id </saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement>アクセス権を取り消すにはどうすればよいですか?
2 通りの方法があります。
アサーションを使用してアクセス権を能動的に取り消す
アイデンティティープロバイダーからのアサーションを Stripe に送ると、特定の Stripe アカウントに対するアクセス権をチームメンバーに割り当てることができるようになります。また、チームメンバーのアクセス権を取り消すこともできます。チームメンバーのアクセス権を取り消すには、アクセス権を取り消す Stripe アカウントの役割に
noneを割り当てます。チームメンバーに役割を割り当てる方法については、ご利用のアイデンティティープロバイダーのページをご覧ください。チームメンバーのアクセス権を取り消す属性要素の例:
<saml2:attribute name="Stripe-Role-STRIPE-ACCOUNT-ID" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml2:attributevalue>none </saml2:attributevalue> </saml2:attribute>注意
Stripe アカウントの所有者のアクセス権を取り消すことはできません。
実行モードを使用してアクセス権を受動的に取り消す
実行モードを必須に設定すると、アイデンティティープロバイダーで認証できるチームメンバーのみが Stripe アカウントにアクセスできるようになります。必須モードでは、アイデンティティープロバイダーでチームメンバーを認証しないようにすることで、Stripe アカウントに対するチームメンバーのアクセス権を取り消すことができます。SSO を必須に設定する場合は、ユーザー認証ページで行います。
アイデンティティープロバイダー起点のログインを機能させるために、サービスプロバイダーを介した認証をサポートする必要があるのはなぜですか?
SAML プロトコルにはセキュリティ上の懸念があるため、ネイティブの IdP 起点のログインはサポートされていません。たとえば、SAML アサーションは中間者攻撃により傍受され、別の時点で再現されてアカウントに不正アクセスされるおそれがあります。
チームメンバーが IdP を使用してサインインしようとすると、Stripe はそのリクエストをサービスプロバイダー起点のログインとして扱い、チームメンバーを想定どおりに認証します。
新しい IdP に移行する際に、SSO 設定を更新するにはどうすればよいですか?
SSO 設定の更新はユーザー認証ページから行います。SSO 設定を更新する場合、最初にアカウントの実行モードをオプションに設定することをお勧めします。これにより、問題が生じた場合でも、メールアドレスとパスワードを使用して Stripe ダッシュボードに引き続きサインインできます。テストアカウントを持っている場合、最初にテストアカウントで SSO 設定を更新してから、新しい設定を検証した後、その他のアカウントを更新することをお勧めします。
SSO を無効にするにはどうすればよいですか?
ユーザー認証ページで実行モードをオフにすると、SSO を無効にできます。これにより、SAML のみを使用してチームにアクセスできるユーザーから、アクセス権が削除されます。これにはパスワードを設定していないユーザーも含まれます。