Authentication Error: User Does Not Exist When Logging in with Single Sign-On (SSO) enabled

	한국어 - 기계 번역	
Deutsch - 기계 번역 English Español - 기계 번역 Français (France) - 기계 번역 Italiano - 기계 번역 日本語 - 기계 번역 Português (Brasil) - 기계 번역 Русский - 기계 번역 简体中文 - 기계 번역

지원 참고 사항 KB0395620

인증 오류: SSO(Single Sign-On)를 사용하여 로그인할 때 사용자가 존재하지 않음

이 지식 기반 문서는 사용자의 편의를 위해 기계 번역되었습니다. SAP에서는 기계 번역의 정확성 또는 완전성을 보증하지 않습니다. 언어 선택 도구를 통해 영어로 전환하여 원래 콘텐츠를 찾을 수 있습니다.

증명서

인증 오류: SSO(Single Sign-On)를 사용하여 로그인할 때 사용자가 존재하지 않습니다.

구성원

웹 서버 인증서가 올바른지 확인하고, 인증서 업데이트가 수행될 때마다 Ariba는 고객에게 IdP 서버의 새 인증서를 업데이트하도록 요청하여 HTTPS(Hypertext Transfer Protocol Secure) 핸드셰이크가 완료되고 차단되지 않도록 합니다. Ariba가 갱신한 새 인증서는 SHA2(보안 해시 알고리즘 2, 256비트) 유형입니다. 이 경우 고객이 ADFS 서버에서 신규 인증서를 업데이트하고 이 신뢰 당사자 신뢰에 SHA2에 사용하도록 보안 해시 알고리즘을 변경했습니다.

또 다른 경우에는 고객이 새 Ariba 서명 인증서를 갱신하지 않았고 여전히 만료된 이전 인증서를 가지고 있습니다.

해답

로그를 캡처하는 방법에는 두 가지가 있습니다.

클라이언트의 영역 > SSO(Single Sign-On 추적) 및 인증(인증 요청)에서 고급 로깅을 사용할 수 있습니다. 그런 다음 고객에게 오류를 재현하도록 요청할 수 있습니다.
외부 Google Chrome 플러그인 > SAML 추적기를 사용하여 로그를 캡처합니다.

두 모드 모두에서 NameID 가 Ariba의 사용자 ID 와 다른지 확인할 수 있습니다.

로그 캡처 및 가져오기 단계:

모든 UI 노드에 대해 권한: DEBUG, sso: DEBUG 및 사용자: 정보를 설정합니다.
사용자가 SSO(Single Sign-On)를 통해 Ariba에 로그인을 시도한 후. 모든 조달 또는 소싱 UI 노드에서 로그를 해제하고 로그 파일을 검색합니다.
모든 UI 노드 로그에서 SAMLResponse 를 검색(Ctrl+F)하고 로그 파일에서 전체 SAMLResponse 라인을 복사합니다(찾을 때마다). 고객의 커뮤니티 노드와 사용자 로그인 시도 시간을 기록해 두십시오. 그러면 올바른 SAMLResponse를 검색하는 것을 알 수 있습니다.
아래에 표시된 대로 메모장++에 SAMLResponse를 붙여넣고 <NameID> 태그를 검색하고 SAML 응답에서 전달된 사용자 ID를 확인합니다.

또한 서명 문제에 대한 SAML 응답 포인트도 볼 수 있습니다.

</ds:Signature><samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/><samlp:StatusMessage>서명을 확인할 수 없음</samlp:StatusMessage></samlp:Status></samlp:Response>

해결

웹 서버에서 업데이트된 새로운 인증서는 SHA256 알고리즘(보안 해시 알고리즘 2, 256비트)입니다. 그러나 SHA256이 아닌 SHA1을 사용하여 서명을 생성합니다. (대부분의 브라우저에서는 SHA1 인증서가 안전하지 않은 사이트로 취급되므로 인증 기관은 새로운 SHA1 인증서를 제공하지 않습니다.)

영역에 대한 SSO가 SAML 요청을 보내도록 구성된 경우, 고객은 Ariba의 만료된 인증서가 아닌 새 인증서를 보유해야 합니다.

SAP Ariba는 고객(ID 공급자)의 SHA1 및 SHA256 인증서를 모두 지원하며 고객 측에서 SHA256 인증서를 필수로 설정하지 않습니다.

SAP Ariba에서 보낸 SAML 요청에서 확인할 수 있습니다. 예를 들면 다음과 같습니다.

<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"

이 문제를 해결하려면 고객의 IT(정보 기술) 팀이 다음 단계를 수행해야 합니다.

핸드셰이크 또는 트러스트에 대한 Ariba 인증서를 업로드합니다.
ADFS에서 Ariba에 대한 엔드포인트 세트를 엽니다.
Ariba 속성 페이지로 이동합니다.
고급 탭을 클릭합니다.
SHA1에 대한 이 신뢰 당사자 트러스트에 사용할 보안 해시 알고리즘 지정 을 설정합니다.
URL(Uniform Resource Locator)을 클릭하여 사용자 인증에 성공했는지 확인합니다.

또한 다음을 참조하십시오.

사용자가 존재하지 않습니다. 양쪽에서 일치하지 않는 인증서, 양쪽 끝에서 일치하지 않는 NameId 형식, Ariba 시스템에서 비활성 사용자, Ariba에 존재하지 않는 사용자 계정 등과 같은 여러 다른 이유로 오류가 표시될 수도 있습니다.

고객이 보낸 사용자 ID가 사용자 ID로 Ariba에 저장된 것과 일치하는지 확인합니다. 대소문자를 구분합니다.

적용 대상

공급자 정보 및 실적 관리
구매
구매 응용프로그램 서비스 > 응용프로그램 프레임워크 > SSO(Single Sign-On)
전략적 계약
전략적 소싱