尝试使用单点登录 (SSO) 登录时，收到以下错误：

身份验证错误 - 无法验证用户。请联系您的管理员以获得进一步帮助。

错误日志显示“无法获取名称 ID”。堆栈：ariba.util.saml.SAMLException：条件无效。

您的 ADFS 服务器时间应与 SAP Ariba 的服务器时间同步。有两种可能的解决方案：

• 使用 Application.SamlConfiguration.ValidationClockSkew 参数增加 SAP Ariba 上的偏差值（容限）。在服务器时间不匹配的情况下设置要视为容差的值（以毫秒为单位）。较高的值没有限制，并且可以设置为解决问题的有效值。
• 使用网络时间协议 (NTP) 同步 ADFS 服务器，以便服务器时间不会随时间推移而变化。如果没有 NTP，所有服务器的时间漂移。

由于 Active Directory 联合服务 (ADFS) 服务器时间，NameID 被 SAP Ariba 拒绝。用户界面 (UI) 中的错误日志示例如下：

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z"><AudienceRestriction><AudienceRestriction><Audience>http://realmname.procurement-eu.ariba.com</Audience></AudienceRestriction></Conditions>

星期五 Jan 20 05:31:15 PST 2017 (T93:*:*:*:dlpjbk:C23_UI3:x0914) (user:WARN) [ID100007]：无法获取名称标识。堆栈：ariba.util.saml.SAMLException：条件无效。

失败的条件（从上述场景中收到的安全断言标记语言 (SAML) 响应复制）如下：

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z">

注意：Z 指祖鲁时间。因此，您需要将时间从祖鲁时间转换为太平洋标准时间 (PST)。

SAML 响应到达 SAP Ariba 比不早于条件早 8 秒，这会导致条件返回 false，并且登录失败。

如果错误日志包含未能获取名称 ID。堆栈：ariba.util.saml.SAMLException：org.opensaml.xml.validation.ValidationException：签名未根据凭据的密钥进行验证，而不是不满足上述条件，请参阅证书已过期。

如果您转而收到错误 验证错误 - 验证失败 ，请参阅 无效 SAML 。

SAP Ariba Buying and Invoicing
SAP Ariba Buying
SAP Ariba Contracts
SAP Ariba SIPM
SAP Ariba Sourcing
SAP Ariba Spend Analysis
SAP Ariba Strategic Sourcing Suite
SAP Ariba Supplier Information Management