よくあるご質問(V3)
Q.Windowsドメインシングルサインオンで 400 Bad Request のエラーになる
質問内容
Windowsドメインシングルサインオンの設定を行っているのですが、シングルサインオン時に下記エラーメッセージの画面が表示されてログインできません。何が原因でしょうか?
Bad Request
Your browser sent a request that this server could not understand.
Size of a request header field exceeds server limit.
回答内容
このエラーは、該当ユーザーがActive Directoryの多くのグループに属している場合に、Windows統合認証利用時に使用するトークンの最大サイズが制限(12,000バイト)を超えているために発生します。
詳細は、下記のマイクロソフト社のページをご参照ください。
https://support.microsoft.com/ja-jp/help/327825/problems-with-kerberos-authentication-when-a-user-belongs-to-many-grou
上記ページの情報によると、ユーザーが120を超えるグループのメンバーになっている場合、バッファサイズの上限を超えます。
Active Directoryのグループ数が多い場合、グループの単位を見直すなどして、グループ数を減らし、120を超えるグループに属しているユーザーがいない状態にしてください。
FAQ番号
FAQ00001165