サポートノート KB0395620
電子メール
認証エラー: シングルサインオン (SSO) を有効にしてログインすると、ユーザーが存在しません。
このナレッジベース記事は、お客様の利便性のために機械翻訳されています。SAP は、この機械翻訳の正確性または完全性に関して、いかなる保証も行うものではありません。言語選択で英語に切り替えると、元のコンテンツを確認できます。
現象
認証エラー: シングルサインオン (SSO) を有効にしてログインすると、ユーザーが存在しません。

原因

Web サーバー証明書が正しいことを確認し、証明書の更新が実行されるたびに、Hypertext Transfer Protocol Secure (HTTPS) ハンドシェイクが完了してブロックされないように、IdP サーバーで新しい証明書を更新するよう顧客に依頼します。Ariba が更新した新しい証明書のタイプは SHA2 (セキュアハッシュアルゴリズム 2、256 ビット) です。この場合、カスタマが ADFS サーバで新しい証明書を更新し、SHA2 に対するこの信頼するパーティのトラストに使用するセキュアハッシュアルゴリズムも変更しました。

別のケースでは、お客様が新しい Ariba 署名証明書を更新しておらず、古い証明書の有効期限が切れています。


解決

ログを 2 つの方法でキャプチャできます。

  1. クライアントのレルムで [SSO (シングルサインオントレース)] および [認証 (認証要求)] で詳細ロギングを有効化することができます。その後、エラーを再現するように顧客に依頼します。
  2. 外部 Google Chrome プラグイン > SAML トレーサを使用してログをキャプチャします。

どちらのモードでも、NameID が Ariba の UserID と異なるかどうかを識別することができます。

ログのキャプチャおよび取得ステップ:

  1. Auth: DEBUG、sso: DEBUG、およびユーザ: Info for the all UI Nodes をオンにします。
  2. ユーザーがシングルサインオン (SSO) を使用して Ariba にサインインしようとした後。すべての調達 UI ノードまたはソーシング UI ノードでログをオフにし、ログファイルを取得します。
  3. すべての UI ノードログで、SAMLResponse を検索し (Ctrl+F)、ログファイルから SAMLResponse 行全体を (見つかった場所に) コピーします。適切な SAMLResponse を取得できるように、顧客のコミュニティノードおよびユーザのログイン試行時間を必ず確認してください。
  4. 以下の SAMLResponse を Notepad++ にペーストし、 <NameID> タグを検索して、SAML 応答で渡されるユーザ ID を確認します。

また、署名問題に対する SAML 応答ポイントを確認することもできます。

</ds:Signature><samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/><samlp:StatusMessage>署名を検証できません</samlp:StatusMessage></samlp:Status></samlp:Response>

解決

Web サーバーで更新される新しい証明書は、SHA256 アルゴリズム (セキュアハッシュアルゴリズム 2、256 ビット) です。ただし、署名は SHA256 ではなく SHA1 で生成されます。(ほとんどのブラウザでは SHA1 証明書を含むサイトが安全でないと処理されるため、認証局は新しい SHA1 証明書を提供しないことに注意してください。)

レルムの SSO が SAML 要求を送信するように設定されている場合、お客様は Ariba の期限切れの証明書ではなく、新しい証明書を取得する必要があります。

SAP Ariba では、顧客 (アイデンティティプロバイダ) からの SHA1 証明書と SHA256 証明書の両方がサポートされており、顧客側では SHA256 証明書は必須ではありません。

SAP Ariba から送信された SAML 要求でそれを確認することができます。たとえば、

<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"

この問題を修正するには、カスタマの情報技術 (IT) チームが以下のステップに従う必要があります。

  1. ハンドシェイクまたはトラスト用の Ariba 証明書をアップロードします。
  2. ADFS で Ariba のエンドポイントセットを開きます。
  3. [Ariba プロパティ] ページに移動します。
  4. [詳細] タブをクリックします。
  5. この信頼するパーティの SHA1 への信頼に使用するセキュアハッシュアルゴリズムを指定します
  6. Uniform Resource Locator (URL) をクリックして、ユーザ認証が成功したかどうかを確認します。


参照

ユーザーが存在しません。エラーは、証明書が両側で一致しない、[NameId] 形式が両端と一致しない、[ユーザーが Ariba システムで非アクティブである]、[Ariba システムに存在しないユーザーアカウント] など、その他の多くの理由で表示される場合もあります。

顧客から送信されたユーザー ID が、Ariba にユーザー ID として保存されているものと一致していることを確認します。これは大文字と小文字が区別されます。



該当項目

Strategic Sourcing
Supplier Information & Performance Management
戦略的契約
購入
購買アプリケーションサービス > アプリケーションフレームワーク > シングルサインオン

使用条件  |  Copyright  |  セキュリティに関する情報  |  情報の保護