Authentication Error: User Does Not Exist When Logging in with Single Sign-On (SSO) enabled

	Português (Brasil) - Tradução automática	
Deutsch - Tradução automática English Español - Tradução automática Français (France) - Tradução automática Italiano - Tradução automática 日本語 - Tradução automática 한국어 - Tradução automática Русский - Tradução automática 简体中文 - Tradução automática

Nota de suporte KB0395620

Erro de autenticação: o usuário não existe ao fazer login com Single Sign-On (SSO) ativado

Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.

Sintoma

Erro de autenticação: O usuário não existe ao fazer login com Single Sign-On (SSO) habilitado

Causa

Certifique-se de que o certificado do servidor da Web esteja correto e, sempre que uma atualização do certificado for executada, a Ariba solicita que os clientes atualizem o novo certificado em seu servidor IdP para que o handshake Hypertext Transfer Protocol Secure (HTTPS) esteja completo e não esteja bloqueado. O novo certificado que a Ariba atualizou é do tipo SHA2 (algoritmo de hash seguro 2, 256 bits). Nesse caso, o cliente atualizou o novo certificado em seu servidor ADFS e também alterou o algoritmo de hash seguro para usar para essa relação de confiança da parte dependente para SHA2.

Em outro caso, o cliente não atualizou o novo certificado de assinatura da Ariba e ainda tem o certificado antigo, que expirou.

Resolução

Podemos capturar os logs de duas maneiras.

Podemos ativar o registro em log avançado no realm do cliente > SSO (rastreamento de início de sessão único) e Autenticação (solicitações de autenticação) e, em seguida, solicitar que o cliente reproduza o erro.
Capture logs usando um plug-in externo Google Chrome > Rastreador SAML.

Nos dois modos, podemos identificar se o NameID é diferente do UserID no Ariba.

Etapas para capturar e recuperar logs:

Ative Auth: DEBUG, sso: DEBUG e o usuário: Info para todos os nós de IU.
Depois de o usuário tentar iniciar sessão na Ariba mediante Single Sign-On (SSO). Desative os logs em todos os nós de IU de compras ou de sourcing e recupere os arquivos de registro.
Em todos os logs de nós da IU, procure (Ctrl+F) por SAMLResponse e copie toda a linha SAMLResponse do arquivo de log (onde for encontrado). Lembre-se de anotar o nó da comunidade do cliente e o tempo da tentativa de login do usuário, para que você saiba que está recuperando o SAMLResponse correto.
Cole o SAMLResponse como visto abaixo no Notepad++, procure a tag <NameID> e veja qual ID do usuário é transferido na resposta SAML.

Além disso, também podemos ver pontos de resposta SAML para o problema de assinatura.

</ds:Signature><samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/><samlp:StatusMessage>Impossível verificar a assinatura</samlp:StatusMessage></samlp:Status></samlp:Response>

Resolução

O novo certificado atualizado em nossos servidores web é do algoritmo SHA256 (Secure Hash Algorithm 2, 256 bits). No entanto, ainda geramos assinaturas com SHA1 e não SHA256. (Observe que as autoridades certificadoras não fornecerão novos certificados SHA1, pois a maioria dos navegadores trata sites com um certificado SHA1 como inseguro.)

Se o SSO para o realm estiver configurado para enviar solicitações SAML, o cliente precisará ter o novo certificado e não um certificado expirado da Ariba.

A SAP Ariba suporta certificados SHA1 e SHA256 do cliente (provedor de identidade) e não torna um certificado SHA256 obrigatório no lado do cliente.

Você poderá ver isso na solicitação SAML enviada da SAP Ariba. Por exemplo:

<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"

Para corrigir esse problema, a equipe de Tecnologia da informação (TI) do cliente precisa seguir as etapas abaixo:

Carregue o certificado Ariba para handshake ou Trust.
Abra o ponto de extremidade definido para Ariba na ADFS.
Vá para a página Propriedades da Ariba.
Clique na guia Avançado.
Defina Indicar o algoritmo hash seguro a ser utilizado para esta relação de confiança da parte dependente para SHA1.
Clique no Uniform Resource Locator (URL) para verificar se a autenticação do usuário foi bem-sucedida.

Veja também

O usuário não existe. O erro também pode ser exibido por muitos outros motivos, como o certificado não correspondente nas duas extremidades, o formato NameId não correspondente nas duas extremidades, o usuário estar inativo no sistema Ariba, a conta de usuário não existir na Ariba, etc.

Certifique-se de que o UserID enviado do cliente corresponde ao que está armazenado na Ariba como UserID. Isso diferencia maiúsculas de minúsculas.

Aplicável a

Compras
Contratos estratégicos
Serviços de aplicativo de compras > Estrutura de aplicativos > Início de sessão único
Sourcing estratégico
Supplier Information & Performance Management