Q.Windowsドメインシングルサインオンで 400 Bad Request のエラーになる

質問内容

Windowsドメインシングルサインオンの設定を行っているのですが、シングルサインオン時に下記エラーメッセージの画面が表示されてログインできません。何が原因でしょうか？

Bad Request
Your browser sent a request that this server could not understand.
Size of a request header field exceeds server limit.

回答内容

このエラーは、該当ユーザーがActive Directoryの多くのグループに属している場合に、Windows統合認証利用時に使用するトークンの最大サイズが制限(12,000バイト)を超えているために発生します。

詳細は、下記のマイクロソフト社のページをご参照ください。
https://support.microsoft.com/ja-jp/help/327825/problems-with-kerberos-authentication-when-a-user-belongs-to-many-grou

上記ページの情報によると、ユーザーが120を超えるグループのメンバーになっている場合、バッファサイズの上限を超えます。
Active Directoryのグループ数が多い場合、グループの単位を見直すなどして、グループ数を減らし、120を超えるグループに属しているユーザーがいない状態にしてください。

FAQ番号

FAQ00001165