Error: "Authentication Error - Failed to validate the user" SSO login server time issue

	Español - Traducción automática	
Deutsch - Traducción automática English Français (France) - Traducción automática Italiano - Traducción automática 日本語 - Traducción automática 한국어 - Traducción automática Português (Brasil) - Traducción automática Русский - Traducción automática 简体中文 - Traducción automática

Nota de asistencia técnica 169760

Error: "Error de autenticación - Error al validar el usuario" Problema de tiempo del servidor de inicio de sesión SSO

Este artículo de la base de conocimientos ha sido traducido automáticamente para su comodidad. SAP no ofrece ninguna garantía con respecto a la exactitud o integridad de la traducción automática. Puede acceder al contenido original si cambia al inglés mediante el selector de idiomas.

Problema

Al intentar iniciar sesión con el inicio de sesión único (SSO), veo el siguiente error:

Error de autenticación - No se pudo validar el usuario. Póngase en contacto con el administrador para obtener más ayuda.

El log de errores muestra Error al obtener ID de nombre. Pila: ariba.util.saml.SAMLException: condición no válida.

Resolución

La hora del servidor ADFS debe estar sincronizada con la hora del servidor de SAP Ariba. Existen dos soluciones posibles:

Aumente el valor de sesgo (tolerancia) en SAP Ariba utilizando el parámetro Application.SamlConfiguration.ValidationClockSkew. Fije un valor (en milisegundos) para que se tenga en cuenta la tolerancia en caso de una inconsistencia de tiempo del servidor. No hay límite en el valor superior y se puede fijar en un valor válido que resuelva el problema.
Sincronice su servidor ADFS utilizando Network Time Protocol (NTP), de modo que el tiempo del servidor no se desvíe con el tiempo. Sin NTP, todas las derivas de tiempo de los servidores.

Causa

SAP Ariba rechaza el NameID debido a la hora del servidor de Active Directory Federation Services (ADFS). Un log de errores de ejemplo en la interfaz de usuario (IU) muestra:

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z"><AudienceRestriction><Audience>http://realmname.procurement-eu.ariba.com</Audience></AudienceRestriction></Conditions>

Viernes, 20 de enero, 05:31:15 PST 2017 (T93:*:*:*:dlpjbk:C23_UI3:x0914) (usuario:WARN) [ID100007]: Error al obtener ID de nombre. Pila: ariba.util.saml.SAMLException: condición no válida.

La condición que ha fallado (copiada de la respuesta Security Assertion Markup Language (SAML) que se ha recibido en el escenario anterior) es la siguiente:

Nota: Z se refiere a la hora zulú. Por lo tanto, debe convertir la hora de Zulú a Hora estándar del Pacífico (PST).

La respuesta SAML alcanza SAP Ariba ocho segundos antes que la condición No antes de, lo que provoca que la condición devuelva falso y que el inicio de sesión falle.

Información adicional

Si el log de errores incluye Error al obtener ID de nombre. Pila: ariba.util.saml.SAMLException: org.opensaml.xml.validation.ValidationException: La firma no se ha validado con la clave de la credencial en lugar de que no se cumpla la condición anterior; consulte Certificado caducado.

Si, en su lugar, obtiene el error Error de autenticación: error de autenticación, consulte SAML no válido.

Se aplica a

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing
SAP Ariba Spend Analysis
SAP Ariba Strategic Sourcing Suite
SAP Ariba Supplier Information Management