エラー - AADSTS75011サービスで認証されたユーザーが要求された認証方法 AuthnContextClassRef と一致しない認証方法

この記事では、Microsoft Entra IDと統合された SAML ベースのシングル サインオン (SSO) 構成済みアプリにサインインしようとすると、"エラー - AADSTS75011認証方法で、サービスで認証されたユーザーが要求された認証方法 AuthnContextClassRef と一致しない" というエラー メッセージが表示される問題について説明します。

注:

この記事はお役に立ちましたか? お客様の入力は、当社にとって重要です。 このページの [フィードバック ] ボタンを使用して、この記事がどれだけうまく機能したか、または改善する方法をお知らせください。

現象

SAML ベースの AADSTS75011 SSO を使用して ID 管理にMicrosoft Entra IDを使用するように設定されているアプリケーションにサインインしようとすると、エラー メッセージが表示されます。

原因

RequestedAuthnContextは SAML 要求にあります。 これは、アプリが で指定された を AuthnContext 想定することを意味します AuthnContextClassRef。 ただし、ユーザーはアプリケーションにアクセスする前に既に認証されており、その前の AuthnContext 認証に使用される (認証方法) は要求されている認証とは異なります。 たとえば、MyApps と WIA へのフェデレーション ユーザー アクセスが発生しました。 は AuthnContextClassRef になります urn:federation:authentication:windows。 新しい認証要求を実行しないMicrosoft Entra IDは、IdP (この場合は ADFS またはその他のフェデレーション サービス) によって渡された認証コンテキストを使用します。 そのため、アプリが 以外 urn:federation:authentication:windowsを要求した場合、不一致が発生します。 もう 1 つのシナリオは、MultiFactor が使用されたときです。 'X509, MultiFactor

解決方法

RequestedAuthnContext は省略可能な値です。 可能であれば、値を削除できるかどうかをアプリケーションに問い合わせください。

もう 1 つのオプションは、値が RequestedAuthnContext 受け入れられるようにすることです。 これは、新しい認証を要求することによって行われます。 これにより、SAML 要求が処理されると、新しい認証が実行され、 AuthnContext 受け入れられます。 新しい認証を要求するには、SAML 要求に という値 forceAuthn="true"が含まれている必要があります。

詳細

Active Directory 認証と承認エラー コードの完全な一覧については、「認証と承認のエラー コードのMicrosoft Entra」を参照してください。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。