高度なPassportトラブルシューティングテクニックを学ぶ
場合によっては、Passport ログインの問題を解決するために、より詳細なトラブルシューティングが必要になることがあります。このガイドでは、Passport の取り扱いに役立つ追加の要件、一般的なエラー、および高度なトラブルシューティング方法について説明します。
ログインのベストプラクティス
完全なメールアドレスでログインする - Passportログインウィンドウでログインするときは、認証セッションがローカル認証ではなくIdPに接続されていることを確認するために、ユーザー名フィールドには常に完全なメールアドレスを使用する必要があります。FileVault ログインウィンドウでメールアドレスを使用する際の混乱を避けるため、ログインウィンドウライブラリアイテムの 「ユーザー表示の管理」 ボックスがオフになっていることを確認してください。これについての詳細は、 Passportの互換性 の記事をご覧ください。
アカウントのIdPにfamilyName/surnameがあることを確認する - Passportを使用してIdPの資格情報でログインする場合は、familyName属性が必要です。サービスアカウントを使用している場合でも、このフィールドが ID プロバイダー内のユーザー属性に入力されていることを確認してください。
Passport がサポートする IdP
現在、Kandji Passportが対応しているIdPは、 Google Workspace、 Microsoft Entra、 Okta、 OneLoginです。
他のIdPを使用する場合のパスポート要件
Passport の設定が 機能するには、OIDCワークフローとROPG ワークフローが必要です。IdP に問い合わせて、これらの機能をサポートしているかどうかを確認してください。
MacログインまたはWebログインを選択するオプションを提供していますが、Webログインを設定する際には追加の要素がある可能性があるため、最初にMacログインを使用してPassportを設定することをお勧めします。サポートされている構成は、Google Workspace、Microsoft Entra、Okta、または OneLogin をリソースとして使用して参照できます。
上記の ID プロバイダのうちのいずれかを使用していない場合でも、[その他] オプションを使用して Passport を設定できる場合があります。
その他の IdP を構成する
認証設定
Google Workspace、Microsoft Entra、Okta、OneLogin 以外の IdP を設定する場合は、ID プロバイダーのドロップダウンから [その他] オプションを選択します。
認証モード
多要素認証(MFA) を使用しない 場合は、Macログインを選択する必要があります。
多要素認証 (MFA ) を使用する場合は、 Web ログインを選択する必要があります。
Macログイン
ID プロバイダーの URL を入力します。
IdPで作成したPassport AppのクライアントID(App IDとも呼ばれる)を入力します。
Webログイン
ID プロバイダーの URL を入力します。
IdPで作成したPassport AppのクライアントID(App IDとも呼ばれる)を入力します。
Web ログインを使用する場合、アプリはPKCE 認証とPost 認証の両方をサポートする必要があります。一部の IdP では、2 つの異なるアプリを構成する必要がある場合があります。
ほとんどの場合、リダイレクトURI は IdP のデフォルトのリダイレクトURIです。
トラブルシューティング
Passport IdP の [その他] オプションを選択する際に、Passport の問題のトラブルシューティングを行う際に考慮すべき多くの要素があります。このセクションでは、エラーを取得し、設定変更を適用するためのエラーを理解するためのコンテキストを見つけるのに役立ちます。
Kandji Passport診断
ユーザーが Passport ログインウィンドウでログインできない場合は、キーボードの Command-Shift-K-L を押して Kandji Passport 診断を起動できます。IdPからのエラーメッセージなど、役立つ情報が表示されます。
Passport で引き続き問題が発生する場合は、 サポートに連絡して サポートを受けてください。
ネットワーク接続
Passport では、ユーザーの資格情報を IdP と照合するためにネットワーク接続が必要です。Passport でログインウィンドウをカスタマイズするときは、必要に応じてユーザーが Wi-Fi ネットワークに接続できるように、ネットワークマネージャーを表示します。ネットワークマネージャーは、macOSのAirMacセキュリティ設定を尊重します。ネットワークの問題を除外するためのトラブルシューティング手順として、Passport ログインウィンドウでテストデバイスをモバイルホットスポットに接続できます。
一般的なエラー
Error: POST token 401 "error":"Unauthorized","error_description":"Authentication Failed: Invalid user credentials"(認証に失敗しました:無効なユーザー資格情報です)
このエラーはパスワードが一致しないことを示しており、ID プロバイダー側で機能するためにパスワードを確認する必要があります。openid-configuration の GET リクエストに対する 200 応答は、Passportライブラリアイテムの IDプロバイダーURL とアプリケーション ID (別名クライアント ID) が IdP との通信用に正しく設定されていることを示唆しています。Error: POST token 403 ”error”:”access_denied”,”error_description”:”End-user does not have access to this application”:(エンドユーザーはこのアプリケーションにアクセスできません)
このエラーは、アカウントがIDプロバイダー側のPassport OIDCアプリにアクセスできない可能性があることを示しており、そのアクセスを確認する必要があります。openid-configuration の GET リクエストに対する 200 応答は、Passport ライブラリアイテムの ID プロバイダーURL とアプリケーション ID (別名クライアント ID) が IdP との通信用に正しく設定されていることを示唆しています。Ticket Decode failedTicket decode failedFailed to login with possible error: Unknown(チケットのデコードに失敗しました。ログインに失敗しました。考えられるエラー: 不明)
これは通常、オプションのクライアントシークレットの問題です。トラブルシューティングの目的で、オプションのクライアントシークレットを Passport ライブラリアイテムから完全に削除し、デバイスがチェックインすることを確認します。チェックイン後、ローカルユーザーからログアウトし、Passport で再度ログインします。このエラーは、ネットワークの状態に関連している可能性もあります。これを除外するには、トラブルシューティングの一環としてモバイルホットスポットに接続して、エラーが継続するかどうかを確認してください。An error occurred fetching user info: No key was found matching "familyName"(ユーザー情報の取得中にエラーが発生しました: "familyName" に一致するキーが見つかりませんでした)
このエラーは、Passport に必要なユーザー情報キーであるLast Name プロパティ (surnameとも呼ばれる) がないアカウントに対して返されます。
エラーコードルックアップ
多くのIdPは、独自のエラーコードを生成します。IdPに問い合わせて、IdPから受け取っている特定のエラーについて詳しく読むためのルックアップページがあるかどうかを確認してください。一例として、Entraエラーを検索するためのMicrosoftの エラーコードフォーム です。
役立つパスポートサポート記事
下記の補足的な Passport サポート記事には、追加のトラブルシューティングに役立つ情報が含まれています。