※本記事は、「楽楽請求(楽楽精算連携プラン)」をご利用中のお客様向けの内容です。
「楽楽精算」の記事を見たい方は、「楽楽精算サクセスナビ」をご確認ください。
シングルサインオンにおいて、エラーが発生した場合、画面にエラーメッセージが表示されます。
エラーコード/メッセージを確認して、下記の対応を行ってください。
「楽楽請求(楽楽精算連携プラン)」の設定修正が必要です。
| エラーコード | エラーメッセージ | 発生条件 | 対応方法 |
| 00001 | シングルサインオンが「利用しない」に設定されています。 | ・シングルサインオン設定でシングルサイン機能が有効化されていない | 管理者にて「設定」タブ>「システム設定」>「セキュリティ設定」の「シングルサインオン設定」>「シングルサインオンの利用」設定を実施ください。 |
| 00019 | セッションの有効期限が切れました。 もう一度ログインしてください。 |
・タイムアウト(60分) | ログインを最初からやり直してください。 |
| ー | アカウントがロックされました。管理者にお問い合わせください。 | ・該当社員のアカウントがロックされている | 初回ログインの失敗から、24時間以内に連続5回失敗した場合は、ロックされます。 ロックから24時間経過もしくは、パスワード再設定にて解除できます。 |
| ー | ログインに失敗しました。 | ・入力されたIDまたはパスワードの形式が不正 ・該当社員のパスワードが未設定 ・入力されたIDまたはパスワードが間違っている |
パスワードが不明な場合、パスワードの再設定を実施ください。 |
| エラー コード |
エラーメッセージ | 発生条件 | 対応方法 |
| 00002 | IdPが送信したリクエストパラメータにSAMLResponseがありません。 | ・IdP側から送信されたリクエストパラメータにSAMLResponseが存在しない | ・IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 ・プロキシサーバーなどでリクエストパラメータが改ざんされていないか確認してください。 |
| 00003 | SAMLResponseの◯◯要素が存在しない、または、形式が正しくありません。 | ・SAML応答の形式が不正 | IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 |
| 00004 | SAMLResponseのバージョンが異なります。 SAML2.0に準拠している必要があります。 |
・SAML応答の形式が不正 (SAML 2.0以外のバージョンで応答) |
IDプロバイダーのSAML応答設定が適切に設定されているかご確認ください。 |
| 00005 | IdPでエラーが発生しました。 「◯◯(※IdPが返してきたエラーメッセージが表示されます。)」 |
・IdP側での認証に失敗 | IDプロバイダーのSAML応答設定が適切に設定されているかご確認ください。 |
| 00006 | SAMLResponseに対応するAuthnRequestがありません。 Response要素のInResponseTo属性が、AuthnRequestのIDと一致しません。 |
・タイムアウト (60分) ・別のセッションからSAMLResponseを不正利用 |
・同じWEBブラウザーの複数のタブで「楽楽請求(楽楽精算連携プラン)」へのログインを行おうとした可能性があります。タブを1つだけ開いた状態で「楽楽請求(楽楽精算連携プラン)」にログインしてください。 ・WEBブラウザーのキャッシュが影響している可能性があります。WEBブラウザーを再起動するか、WEBブラウザのキャッシュを削除して、「楽楽請求(楽楽精算連携プラン)」にログインしてください。 |
| 00007 | SAMLResponseの送信先が正しくありません。 Response要素のDestination属性が、サービスプロバイダーの受信URLと一致しません。 |
・IdPのACS URLの設定ミス | 「楽楽請求(楽楽精算連携プラン)」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。 「楽楽請求(楽楽精算連携プラン)」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。 |
| 00009 | SAMLResponseの有効期限が切れています。 Conditions要素のNotBefore属性に有効期間外の日時が指定されています。 |
・IdPとSPのサーバー時刻のずれにより発生 | IDプロバイダーと「楽楽請求(楽楽精算連携プラン)」のシステム日時がずれている可能性があります。 IDプロバイダーのシステム日時を確認してください。 |
| 00010 | SAMLResponseの有効期限が切れています。 Conditions要素のNotOnOrAfter属性に有効期間外の日時が指定されています。 |
・IdPとSPのサーバー時刻のずれにより発生 ・タイムアウト |
IDプロバイダーと「楽楽請求(楽楽精算連携プラン)」のシステム日時がずれている可能性があります。 IDプロバイダーのシステム日時を確認してください。 |
| 00011 | SAMLResponseのAudience要素が正しくありません。 Audience要素に記載されているURLをご確認ください。 |
・IdP側のSP Entity IDの設定ミス | 「楽楽請求(楽楽精算連携プラン)」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。 「楽楽請求(楽楽精算連携プラン)」の「システム設定」>「セキュリティ設定」>「シングルサインオン設定」でダウンロードしたメタデータを、IDプロバイダーにアップロードして、サービスプロバイダーとして登録ください。 |
| 00012 | SAMLResponseのSubjectConfirmati on要素のmethod属性が正しくありません。 |
・IdP側のSubjectConfirmation Methodの設定ミス | IDプロバイダーがSAML2.0の認証方式を使用し、適切に設定されているか確認してください。 |
| 00013 | SAMLResponseの有効期限が切れています。 SubjectConfirmati onData要素のNotOnOrAfter属性に有効期間外の日時が指定されています。 |
・IdPとSPのサーバー時刻のずれにより発生 ・タイムアウト |
IDプロバイダーと「楽楽請求(楽楽精算連携プラン)」のシステム日時がずれている可能性があります。 IDプロバイダーのシステム日時を確認してください。 |
| 00014 | SAMLResponseに対応するAuthnRequestがありません。 SubjectConfirmati onData要素のInResponseTo属性が、AuthnRequestのIDと一致しません。 |
・タイムアウト(60分) ・別のセッションからSAMLResponseを不正利用 |
・同じWEBブラウザーの複数のタブで「楽楽請求(楽楽精算連携プラン)」へのログインを行おうとした可能性があります。 タブを1つだけ開いた状態で「楽楽請求(楽楽精算連携プラン)」にログインしてください。 ・WEBブラウザーのキャッシュが影響している可能性があります。 Webブラウザーを再起動するか、WEBブラウザのキャッシュを削除して、「楽楽請求(楽楽精算連携プラン)」にログインしてください。 |
| 00015 | SAMLResponseに対応するAuthnRequestがありません。 SubjectConfirmati onData要素のRecipient属性が、AuthnRequestのAssertionConsume rServiceURLと一致しません。 |
・IdPのACS URLの設定ミス | 「楽楽請求(楽楽精算連携プラン)」をサービスプロバイダーとして登録する際に不正なエンドポイントURLを指定した可能性があります。 「楽楽請求(楽楽精算連携プラン)」のシステム設定画面でダウンロードしたメタデータを、IDプロバイダーにアップロードしてサービスプロバイダーとして登録してください。 |
IDプロバイダー(IdP)および「楽楽請求(楽楽精算連携プラン)」の両方の修正が必要です。
| エラー コード |
エラーメッセージ | 発生条件 | 対応方法 |
| 00008 | SAMLResponseに署名が存在しない、または無効な署名です。 | ・証明書の設定ミス ・証明証の有効期限切れ |
・IDプロバイダーがSAMLResponseに署名を付加していない可能性があります。IDプロバイダーの設定を確認してください。 ・IDプロバイダーの公開鍵の証明書が不正な可能性があります。「楽楽請求(楽楽精算連携プラン)」のシステム設定画面で正しい証明書を添付してください。RSAかDSAのアルゴリズムで生成されたX.509形式の証明書が利用できます。 |
| 00017 | SAMLResponse内のNameIDと一致するシングルサインオン認証済みIDの社員がすでに存在します。 | ・紐づけしようとしているNameIDがすでに別の社員と紐づけられている (同時に操作した場合のみ発生する) |
・既に紐づいている社員のSSO連携を解除するか、IDプロバイダー側のNameIDを変更してください。 ・IDプロバイダーで送信するNameIDが社員と一意になるよう設定を確認してください。 |
| 00018 | この社員はすでに別のIdPユーザーとSSOで紐づいています。 | ・紐づけしようとしている社員が既に別のNameIDと紐づけられている | ・既に紐づいている社員のSSO連携を解除するか、IDプロバイダー側のNameIDを変更してください。 ・IDプロバイダーで送信するNameIDが社員と一意になるよう設定を確認してください。 |
(記事ID:1022)