A：このエラーのトラブルシューティングを行うには、次の手順を実行します。

1. {IdP 名}.properties ファイルで、osp.api.url パラメータの値を取得します。

   このファイルは、{リポジトリ・フォルダ}\sa\DomsInfo\osp\ ディレクトリにあります。

   たとえば、標準設定の alm IdP の場合、{リポジトリ・フォルダ}\sa\DomsInfo\osp\alm.properties ファイルを開いて、osp.api.url パラメータの値を取得します。

2. 次のコマンドを実行して、すべてのノードで osp.api.url に ping を実行します。

   ping {osp.api.url}

3. ping の出力を確認します。

   • ping コマンドが URL の取得に失敗し、ネットワークの問題が返された場合は、さらなる診断のためにネットワーク・チームに支援を要請してください。

   • ネットワーク・チームが実行可能な解決策を提供できない場合は、次の回避策を試してください。

     1. {IdP 名}.properties ファイルで、osp.api.url パラメータをサーバのローカル・アドレスに変更します。例：osp.api.url= http\://localhost\:{http ポート番号}/osp/a/{IdP 名}

        http ポート番号を取得するには、<installdir>server\conf\jetty.xml ファイルで、<Set name="port"<property name="jetty.port" default=....></set> 行を確認します。

        注: HTTP 通信が jetty.xml ファイルで有効になっていること、およびシステムがこのポートでアクティブにリッスンしていることを確認してください。

     2. すべてのノードでサービスを再起動します。

根本原因：forceAuthAtIDP 属性がサーバで有効になっています。

A：次のディレクトリにある authcfg.xml ファイル内の forceAuthAtIDP 属性の値を false に更新します。

• <installdir>\webapps\osp\ospconf\WEB-INF\conf\current\{テナント名}\services\

• <installdir>\osp\ospconf\WEB-INF\conf\current\{テナント名}\services\

例：forceAuthAtIDP="${login.saml2.forceAuth:false}

A：

根本原因：間違った SP メタデータ URL が IdP に登録されたため、システムから送信された SAML 要求を IdP が認識できません。

解決策：正しい SP メタデータを OpenText Application Quality Management からロードできることを確認してください。また、IdP を検証する前に、OpenText Application Quality Management を SP として正しく IdP に登録する必要があります。SP メタデータが IdP に登録された後で IdP を検証すると、IdP ログイン・ページに正しくリダイレクトされます。

A：

根本原因：SAML 応答アサーションに、必要なアサーションの「IdentityKey」が含まれていませんでした。

解決策：IdP が SAML 応答を返した場合、IdP と OpenText Application Quality Management 間の信頼は正常に確立されていることを意味します。唯一の問題は、IdP ユーザを検証できないことです。OpenText Application Quality Management ユーザと IdP ユーザは、IdentiyKey の値を使用してマップされます。IdP が SAML 応答で IdentityKey 値を提供しない場合、OpenText Application Quality Management は IdP ユーザを OpenText Application Quality Management ユーザにマップできないため、検証は失敗します。

この問題を解決するには、IdP で、SAML 属性としての IdentityKey を、IdP ユーザを一意に識別できる IdP 属性とマップします。

A：Web ブラウザで、SP URL を次のように入力します。{ALM ホスト:ポート}/osp/a/alm/auth/app/。IdP ログイン・ページにリダイレクトされ、認証後に再び SP ページにエラーなしでリダイレクトされた場合は、SP が IdP から SAML 応答を受信し、IdP と OpenText Application Quality Management 間の信頼が正常に確立されていることを意味します。

A：

根本原因：古いバージョンの ALM Client Launcher が使用されました。

解決策：15.x SSO ソリューションを使用するには、最新の ALM Client Launcher をダウンロードしてください。

https://marketplace.microfocus.com/appdelivery/content/alm-client-launcher

A：*ローカル認証を有効にするで［ローカル認証を有効にする］を［はい］に設定すると、ローカル・ユーザは OpenText Application Quality Management 側で、IdP ユーザは IdP 側で認証されます。OpenText Application Quality Management では、ローカル・ユーザは、IdP「alm」が検証に合格しなかった場合でも、SSO を有効にできます。これは、検証に合格しなかった場合でもユーザがローカル・ユーザとしてログインし、IdP ユーザがログインできるように IdP 設定を修正する可能性があるためです。

A：SSO が有効になった後でも、ローカル・ユーザがログインして SSO 設定の問題を修正できるように、ローカル認証を有効にすることをお勧めします。

A：15.0.1 以降、SSO が有効になった後は、すべてのユーザが SSO 認証またはローカル認証のいずれかを介して認証されます。

ローカル・アカウントは、SSO が有効になった後もシステムに保持されます。認証を受けるには、ローカル・アカウントが次の要件のどちらかを満たしている必要があります。

• 各ローカル・ユーザが、IdP ユーザにマップされている。
• 各ローカル・ユーザが、ローカル・ユーザとして設定されていて、ローカル認証が有効になっている。

A：15.0.1 以降では、ローカル認証がサポートされています。ローカル認証が有効になっている場合、サイト管理者は、ユーザの IdP ID を「local」として指定することにより、そのユーザをローカル・ユーザとして設定できます。このようなローカル・ユーザは、直接ログインできます。

A：プロジェクト・データへの影響はありません。SSO 認証で変更されるのはユーザ管理のみです。

A：SSO モードに切り替えても、既存ユーザのユーザ名は変更されません。非 SSO モードの場合と同じリソースに引き続きアクセスできます。

ユーザは、対応する IdP ユーザにマップされるだけです。USERS テーブルには 2 つの追加カラム（US_IDENTITY_KEY および US_IDPID_NAME）があり、このカラムに各ユーザのユーザ・マッピング情報が保持されます。

A：15 が SSO モードで動作する場合、いくつかの IdP セッションおよび SP セッションが HTTP 要求の Cookie の末尾に追加されます。これにより、要求ヘッダ・サイズはシステムが非 SSO モードで実行される場合よりも大幅に大きくなります。この問題は、ユーザのリバース・プロキシまたはシステムが、要求ヘッダのサイズを実際のサイズよりも小さく制限しているときに発生します。

この問題を解決するには、Jetty 設定を変更して、要求ヘッダ・サイズを大きくします。推奨サイズ：81920。Jetty コネクタの "requestHeaderSize" を設定する方法については、Jetty のドキュメントを参照してください。

リバース・プロキシでも要求ヘッダのサイズを制限している場合は、ネットワーク管理者にサイズの変更を依頼してください。

A：SSO 設定ファイルを手動で変更するには、次の手順を実行します。

1. {install_folder} にある qcConfigFile.properties ファイルで、「repositoryPath」の値を新しいリポジトリ・フォルダに更新します。

2. {deployment_folder}/wrapper にある wrapper.conf ファイルで、「wrapper.java.additional.34」の値を次のように更新します。

   wrapper.java.additional.34=-Dalm.osp.framework.generic-properties-filename="{新しいリポジトリ}/sa/DomsInfo/osp/basic.properties"

3. {プロジェクト・リポジトリ・フォルダ} にある basic.properties ファイルで、「oauth-keystore.file」の値を次のように更新します。

   oauth-keystore.file={新しいリポジトリ}\\sa\\DomsInfo/osp/basic.pfx

4. {プロジェクト・リポジトリ・フォルダ} にある ospcfg.xml ファイルで、「name="propertiesFile"」の値を次のように更新します。

   <NamedValue value="{新しいリポジトリ}\sa\DomsInfo/osp/alm.properties" name="propertiesFile"/>

5. SSO 設定ツールでサービス・プロバイダの設定およびID プロバイダの設定を実行します。

A：Chrome または Edge のセキュリティ設定を変更します。

1. Chrome の場合は「chrome://flags/」、Edge の場合は「edge://flags/」と入力します。
2. キーワード「SameSite by default cookies」を検索します。

3. Chrome の場合：［Cookies without SameSite must be secure］および［SameSite by default cookies］オプションを［Disabled］に設定します。

   Edge の場合：［SameSite by default cookies］および［Schemeful Same-Site］オプションを［Disabled］に設定します。