OktaによるPassportのトラブルシューティング

PassportとOktaで問題が発生した場合に使用する一般的なトラブルシューティング手法を学びます

ログインのベストプラクティス

Passportログインウィンドウでログインするときは、認証セッションがローカル認証ではなくIdPに接続されていることを確認するために、ユーザー名フィールドには常に完全なメールアドレスを使用する必要があります。FileVault ログインウインドウでメールアドレスを使用する際の混乱を避けるため、ログインウインドウライブラリアイテムの「ユーザ表示の管理」 チェックボックスがオフになっていることを確認してください。これについての詳細は、Passportの互換性の記事をご覧ください 

Kandji Passport診断

ユーザーが Passport ログインウィンドウでログインできない場合は、キーボードの Command-Shift-K-L を押して Kandji Passport 診断を起動できます。IdPからのエラーメッセージなど、役立つ情報が表示されます。

ネットワーク接続

Passport では、ユーザーの資格情報を IdP と照合するためにネットワーク接続が必要です。Passport でログインウィンドウをカスタマイズするときは、必要に応じてユーザーが Wi-Fi ネットワークに接続できるように、ネットワークマネージャーを表示します。ネットワークマネージャーは、macOSのAirMacセキュリティ設定を尊重します。

一般的なOktaエラー

Oktaエラーコードを検索するには、 Okta APIエラーコード ページにアクセスしてください。

Error: POST token 401(エラー: POST トークン 401)

説明: "error":"Unauthorized","error_description":"Authentication Failed: Invalid user credentials"(認証失敗: ユーザー資格情報が無効です)

このエラーはパスワードが一致しないことを示しており、パスワードは ID プロバイダー側で確認する必要があります。openid-configuration の GET リクエストの 200 応答は、Passport ライブラリアイテムの ID プロバイダー URL とアプリケーション ID (別名クライアント ID) が ID プロバイダーとの通信用に正しく構成されていることを示唆しています。

Error: POST token 403(エラー: POST トークン 403)

説明:  ”error”:”access_denied”,”error_description”:”End-user does not have access to this application”(エンドユーザーはこのアプリケーションにアクセスできません)

このエラーは、アカウントがIDプロバイダー側のPassport OIDCアプリにアクセスできない可能性があることを示しており、そのアクセスを確認する必要があります。openid-configuration の GET リクエストの 200 応答は、Passport ライブラリアイテムの ID プロバイダー URL とアプリケーション ID (別名クライアント ID) が ID プロバイダーとの通信用に正しく構成されていることを示唆しています。