シングルサインオン (SSO) を使用してログインしようとすると、以下のエラーが表示されます。

認証エラー - ユーザのチェックに失敗しました。詳細については、管理者に問い合わせてください。

エラーログに Failed to get Name id と表示されます。スタック: ariba.util.saml.SAMLException: 条件が無効です。

ADFS サーバー時間は、SAP Ariba のサーバー時刻と同期されている必要があります。以下の 2 つの解決方法が考えられます。

• Application.SamlConfiguration.ValidationClockSkew パラメータを使用して、SAP Ariba システムでスキュー値 (許容範囲) を増やします。サーバ時間が一致しない場合に許容範囲とみなされる値 (ミリ秒単位) を設定します。大きいほうの値に制限はなく、問題を解決する有効な値に設定することができます。
• ネットワークタイムプロトコル (NTP) を使用して ADFS サーバを同期し、サーバ時間が時間の経過とともに漂わないようにします。NTP がないと、すべてのサーバの時間が漂います。

NameID は、Active Directory Federation Services (ADFS) サーバー時間が原因で SAP Ariba によって拒否されます。ユーザーインターフェイス (UI) のエラーログの例を以下に示します。

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z"><AudienceRestriction><Audience>http://realmname.procurement-eu.ariba.com</Audience></AudienceRestriction></Conditions>

Fri Jan 20 05:31:15 PST 2017 (T93:*:*:*:dlpjbk:C23_UI3:x0914) (ユーザ: WARN) [ID100007]: 名前 ID を取得できませんでした。スタック: ariba.util.saml.SAMLException: 条件が無効です。

失敗した条件 (上記のシナリオで受信した Security Assertion Markup Language (SAML) 応答からコピー) は以下のとおりです。

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z">

※Zはズールータイムを指す。そのため、時刻をズールーから太平洋標準時 (PST) に変換する必要があります。

SAML 応答が Not Before 条件より 8 秒早く SAP Ariba に到達すると、条件が偽を返してログインが失敗します。

エラーログに Failed to get Name id が含まれている場合。スタック: ariba.util.saml.SAMLException: org.opensaml.xml.validation.ValidationException: 上記の条件が満たされず、認証情報のキーに対して署名が検証されませんでした。「証明書の期限切れ」を参照してください。

代わりに、Authentication Error - Authentication Failed というエラーが表示された場合は、Invalid SAML を参照してください。

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing
SAP Ariba Spend Analysis
SAP Ariba Strategic Sourcing Suite
SAP Ariba Supplier Information Management