セキュリティ上の理由によるセッションの強制終了

	日本語	
Deutsch English Español Français (France) Italiano 한국어 Polski Português (Brasil) Русский 简体中文

サポートノート KB0394017

症状

Why am I being logged out of the Ariba system with the following security warning error message:

Ariba had to terminate your current session for security reasons because we have identified a discrepancy in your current IP address from the IP address used in previous requests. Please return to the Ariba Login page and log in again to reset your session credentials.

解決

問題

ユーザーは、以下のセキュリティ警告エラーメッセージが表示された場合、Ariba システムから強制的にログアウトされます。

あなたの現在の IP アドレスと前回の要求で使用された IP アドレスが一致していなかったため、Ariba はセキュリティ上の理由から、あなたの現在のセッションを終了しました。 Ariba ログインページに戻って再度ログインし、あなたのセッション認証情報をリセットしてください。

Ariba ソリューションでは、各要求について、送信者の IP アドレスが前回の要求より著しく変更していないかどうかを検証します。送信者の IP アドレスが情報の送信時と受信時で異なる場合、セッションハイジャックが行われた可能性があります。

この要求 (xx.xx.xx.xxx) におけるあなたの IP アドレスは、あなたの前回の要求 (xx.xx.xx.xxx) のものと著しく異なっており、Ariba による許容範囲を超えています。 Ariba が許可するのは、アドレスの最後の 2 セクションにおける変更のみとなります。

原因

この機能は、ハッキングや不正行為を防止するためのセキュリティチェックとして動作し、Ariba オンデマンドソリューション全体で標準として維持されます。

この問題は、複数の負荷分散インターネットプロキシサーバーがまったく異なる IP アドレスで設定してあるなど、貴社におけるネットワーク設定が最適ではない場合に頻繁に発生します。貴社の IT 部門に、ネットワーク設定について問い合わせてください。

この問題は、オフィスを離れて自宅で作業する際、ネットワークを切り替える際、または仮想専用ネットワーク (VPN) にログインする際に発生する可能性があります。 Ariba システムでは、ユーザーが Ariba システムで試行するすべてのアクション (ボタンのクリック、ドキュメントを開く、ドキュメントの承認など) についてユーザーのインターネットプロトコル (IP) アドレスをチェックします。 IP アドレスが前回の IP アドレスと一致しない場合、セキュリティ上の理由からそのユーザーはシステムから排除されます。この問題は、ユーザーがネットワークを切り替えるか、動的 IP アドレス (負荷分散インターネット) から切り替えることにより、最も高い頻度で発生します。

多くの企業は、ユーザーのブラウザと Ariba などのインターネットサイトの間の通信にプロキシサーバーやネットワークアドレス変換 (NAT) サーバーを使用しています。このような企業のために、Ariba システムでは、ユーザーのマシンの IP アドレスではなく、プロキシサーバーまたは NAT サーバーの IP アドレスのみを参照するようにすることができます。

一部の企業では、負荷分散のプロキシサーバーまたは NAT サーバーを使用しているため、要求ごとに経由するプロキシが異なります。この場合、最初の要求では 1 台目のプロキシサーバーの IP アドレスが Ariba システムに通知され、2 番目の要求では 2 台目のプロキシサーバーの IP アドレスが Ariba システムに通知されます。

Ariba システムでは、最初の 2 つのオクテットが一致しない場合、(セッション管理のコンテキストでは) IP アドレスが不一致であるとみなされます。たとえば、10.10.10.101 と 10.10.11.178 であればセッションタイムアウトになりませんが、10.10.10.101 と 10.11.11.135 であるとセッションタイムアウトになります。言い換えると、IP アドレスに含まれる最初の 2 つの数字セットは同じである必要があります。これが異なると、Ariba システムではセッションがタイムアウトとなります。

解決策

考えられる解決策は以下の 2 つです。

Ariba システムに接続するマシン用に静的 IP アドレスを取得する。
Ariba にリモートホストチェックの設定の変更を依頼する。

Ariba に接続するマシン用の静的 IP アドレスの取得

さらに、Ariba システムへのアクセスは安全なサイトを利用するための入口でもあるため、Uniform Resource Locater (URL) がブラウザの信頼済みサイトの一覧に追加されていることの確認が必要になる場合があります。一覧に追加されていないと、"セッションがタイムアウトまたは終了しました" というメッセージが表示される場合があります。

Microsoft Internet Explorer で信頼済みサイトの一覧に Ariba を追加する方法:

ブラウザウィンドウを開き、画面上部のメニューバーから [ツール] を選択します。
[インターネットオプション] を選択します。
[セキュリティ] タブにアクセスします。
緑色の [信頼済みサイト] アイコンをクリックします。
[サイト] をクリックします。
[このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする] の横のチェックボックスが外れていることを確認します。
[次の Web サイトをゾーンに追加する] フィールドに「*.ariba.com」と入力します。
[追加] をクリックします。
[OK] をクリックします。

Ariba へのリモートホストチェックの設定の変更の依頼

Ariba システムは、各顧客がそれぞれのサイトに合わせてリモートホストチェックの設定を管理できる設定を導入しています。これを設定する手段として、以下の 2 通りの方法があります。

Ariba サポートは、安全、すなわち信頼済みとみなされる一連の IP アドレスを定義することができます。信頼済み IP アドレスが定義されている場合、Ariba システムではユーザーの IP アドレスに大幅な変更を検出すると、まず、信頼済み IP アドレスの一覧をチェックします。アドレスが一覧に記載されている場合、ユーザーのセッションは引き続き動作します。
Ariba サポートは、顧客レルムのリモートホストチェックを無効化することができます。

貴社サイトでこの設定を変更したい場合は、Ariba サポートに連絡して、優先設定の変更を依頼してください。

参照

This feature acts as a security check to protect against hacking and fraud. Thus, it remains standard across the Ariba on-demand solutions.

This issue is most frequently caused by non-optimal network configuration at your location, including configuring multiple load-balancing internet proxy servers with very different IP addresses. You may wish to consult your IT organization about your network setup.
This can occur when traveling from your office to work at home, switching networks, or logging into your Virtual Private Network (VPN). Ariba checks the Internet Protocol (IP) address of a user upon every action they attempt to make in Ariba (clicking a button, opening a document, approving a document, etc.). If the IP address does not match the previous IP address, then, the system ejects the user for security reasons. Most frequently, this occurs due to a user switching network or from a dynamic IP address (balance-loaded Internet).
Many companies use a proxy or network address translation (NAT) servers, which communicate between the user's browsers and Internet sites, such as Ariba. For these companies, Ariba can only see the IP address of the proxy or NAT server and not the IP address of the user's machine.
Some of these companies use load-balanced proxy or NAT servers, such that some requests go through one proxy, and others go through another. This presents Ariba with the IP address of the first proxy server on the first request, and, then, the second proxy server on the second request.
Ariba considers an IP address different from another (in the context of session management) if the first two octets do not match. For example, 10.10.10.101 and 10.10.11.178 do not cause a session timeout, whereas 10.10.10.101 and 10.11.11.135 do cause a session timeout. In other words, the first two sets of numbers within the IP address must stay the same, or Ariba times out the session

該当項目

SAP Business Network for Procurement & Supply Chain
SAP Business Network for Procurement & Supply Chain > Discovery および Sourcing/契約パンチアウトシナリオ
Spend Visibility
Strategic Sourcing
Supplier Information & Performance Management
カタログ管理
コア購買 > コアシステム管理 > コアシステム管理ダッシュボード
コア購買 > コアシステム管理 > コアシステム管理のユーザー管理
戦略的契約
請求書