エラー AADSTS75011 - サービスでのユーザーの認証に使用された認証方法が、要求された認証方法 AuthnContextClassRef と一致しません

この記事では、Microsoft Entra ID と統合された SAML ベースのシングル サインオン (SSO) 構成済みアプリにサインインしようとすると、"エラー - サービスで認証されたユーザーが要求された認証方法 AuthnContextClassRef と一致しないエラー - AADSTS75011認証方法" というエラー メッセージが表示される問題について説明します。

Note

この記事は役に立ちましたか? あなたの入力は私たちにとって重要です。 このページの Feedback ボタンを使用して、この記事がどれだけうまく機能したか、または改善方法をお知らせください。

現象

SAML ベースの SSO を使用して ID 管理に Microsoft Entra ID を使用するように設定されているアプリケーションにサインインしようとすると、 AADSTS75011 エラー メッセージが表示されます。

原因

RequestedAuthnContext が SAML 要求に含まれている。 これは、アプリが AuthnContextClassRef によって指定された AuthnContext を想定していることを意味します。 しかし、ユーザーはアプリケーションにアクセスする前に既に認証されており、その以前の認証で使用された AuthnContext (認証方法) が要求されているものと異なります。 たとえば、MyApps と WIA へのフェデレーション ユーザー アクセスが発生しました。 AuthnContextClassRef は urn:federation:authentication:windows になります。 Microsoft Entra ID では、新しい認証要求は実行されません。IdP (この場合は ADFS またはその他のフェデレーション サービス) によって渡された認証コンテキストが使用されます。 そのため、アプリで urn:federation:authentication:windows 以外が要求されると、不一致が発生します。 もう 1 つのシナリオは、MultiFactor が使用された場合です ('X509, MultiFactor)。

解決方法

RequestedAuthnContext は省略可能な値です。 可能であれば、値を削除できるかどうかをアプリケーションに問い合わせください。

もう 1 つのオプションは、 RequestedAuthnContext 値が受け入れられます。 これは、新しい認証を要求することによって行われます。 これにより、SAML 要求が処理されると、新しい認証が行われ、 AuthnContext が受け入れられます。 Fresh Authentication を要求するには、SAML 要求に値 ( forceAuthn="true") が含まれている必要があります。

詳細

Active Directory 認証と承認のエラー コードの完全な一覧については、「 Microsoft Entra の認証と承認のエラー コード」を参照してください。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。