Authentication Error: User Does Not Exist When Logging in with Single Sign-On (SSO) enabled

	Português (Brasil) - Tradução automática	
Deutsch - Tradução automática English Español - Tradução automática Français (France) - Tradução automática Italiano - Tradução automática 日本語 - Tradução automática 한국어 - Tradução automática Русский - Tradução automática 简体中文 - Tradução automática

Nota de suporte KB0395620

Erro de autenticação: o usuário não existe ao efetuar login com Single Sign-On (SSO) habilitado

Este artigo da base de conhecimentos foi traduzido automaticamente para sua conveniência. A SAP não fornece qualquer garantia em relação à exatidão ou completude da tradução automática. Você pode encontrar o conteúdo original alternando para inglês, usando o seletor de idioma.

Sintoma

Erro de autenticação: o usuário não existe ao efetuar logon com Single Sign-On (SSO) habilitado

Causa

Certifique-se de que o certificado do servidor da Web está correto e, sempre que uma atualização do certificado for executada, a Ariba solicita que os clientes atualizem o novo certificado em seu servidor IdP para que o handshake Hypertext Transfer Protocol Secure (HTTPS) esteja completo e não esteja bloqueado. O novo certificado Ariba atualizado é do tipo SHA2 (algoritmo hash seguro 2, 256 bits). Nesse caso, o cliente atualizou o novo certificado em seu servidor ADFS e também alterou o algoritmo de hash seguro para usar para essa confiança da parte dependente para SHA2.

Em outro caso, o cliente não atualizou o novo certificado de assinatura Ariba e ainda tem o certificado antigo, que está vencido.

Resolução

Podemos capturar os logs de duas maneiras.

Podemos ativar o registro avançado no realm do cliente > SSO (rastreamento de Single Sign-On) e Auth (solicitações de autenticação) e, em seguida, solicitar ao cliente que reproduza o erro.
Capture logs usando um plugin google chrome externo > Rastreador SAML.

Em ambos os modos, podemos identificar se o NameID é diferente do UserID no Ariba.

Etapas para capturar e recuperar logs:

Ative Auth: DEBUG, sso: DEBUG e o usuário: Info for all the UI Nodes.
Depois de o usuário tentar iniciar sessão na Ariba mediante o início de sessão único (SSO). Desative os logs em todos os nós da IU de suprimento ou determinação da fonte de suprimentos e recupere os arquivos de log.
Em todos os logs de nós de IU, procure (Ctrl+F) para SAMLResponse e copie toda a linha SAMLResponse do arquivo de log (onde quer que ela seja encontrada). Lembre-se de anotar o nó da comunidade do cliente e a hora da tentativa de login do usuário, para que você saiba que está recuperando o SAMLResponse correto.
Cole o SAMLResponse como visto abaixo no Notepad++ e procure a tag <NameID> e veja qual ID de usuário é transmitido na resposta SAML.

Além disso, também podemos ver o problema de pontos de resposta SAML para assinatura.

</ds:Signature><samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/><samlp:StatusMessage>Não é possível verificar a assinatura</samlp:StatusMessage></samlp:Status></samlp:Response>

Resolução

O novo certificado atualizado em nossos servidores web é do algoritmo SHA256 (algoritmo Hash seguro 2, 256 bits). No entanto, ainda geramos assinaturas com SHA1 e não SHA256. (Observe que as autoridades de certificação não fornecerão novos certificados SHA1, uma vez que a maioria dos navegadores trata os sites com um certificado SHA1 como inseguro.)

Se o SSO para o realm estiver configurado para enviar solicitações SAML, o cliente precisará ter o novo certificado e não um certificado expirado da Ariba.

A SAP Ariba suporta os certificados SHA1 e SHA256 do cliente (provedor de identidade) e não torna um certificado SHA256 obrigatório no lado do cliente.

Você poderá ver isso na solicitação SAML enviada da SAP Ariba. Por exemplo:

<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"

Para corrigir esse problema, a equipe de tecnologia da informação (TI) do cliente precisa seguir as etapas abaixo:

Carregue o certificado Ariba para handshake ou Trust.
Abra o ponto de acesso definido para Ariba no ADFS.
Vá para a página Propriedades da Ariba.
Clique na guia Avançado.
Defina o algoritmo hash seguro a ser usado para essa relação de confiança da parte dependente como SHA1.
Clique no Uniform Resource Locator (URL) para verificar se a autenticação do usuário foi bem-sucedida.

Consulte também

O usuário não existe. O erro também pode aparecer por muitos outros motivos, como o certificado não correspondente nas duas extremidades, o formato NameId não correspondente nas duas extremidades, o usuário estar inativo no sistema Ariba, a conta de usuário não existente na Ariba, etc.

Certifique-se de que o Código do usuário enviado pelo cliente corresponde ao que está armazenado na Ariba como o Código do usuário. Isso diferencia maiúsculas de minúsculas.

Aplicável a

Compras
Contratos estratégicos
Serviços de aplicativo de compras > Estrutura de aplicativos > Início de sessão único
Sourcing estratégico
Supplier Information & Performance Management