Убедитесь, что сертификат веб-сервера корректен, и при каждом обновлении сертификата Ariba просит клиентов обновить новый сертификат на своем сервере IdP, чтобы квитирование Hypertext Transfer Protocol Secure (HTTPS) было завершено и не блокировалось. Новый сертификат, обновленный Ariba, имеет тип SHA2 (Secure Hash Algorithm 2, 256 бит). В этом случае клиент обновил новый сертификат на своем сервере ADFS, а также изменил защищенный алгоритм хеширования, который будет использоваться для доверительного отношения с этой полагающейся стороной, на SHA2.

В другом случае клиент не обновил новый сертификат подписи Ariba и все еще имеет старый сертификат, срок действия которого истек.

Журналы можно собирать двумя способами.

1. Мы можем включить расширенное ведение журнала в сфере клиента > SSO (трассировка единого входа) и Auth (запросы аутентификации), а после этого попросить клиента воспроизвести ошибку.
2. Запись журналов с помощью внешнего плагина Chrome Google > трассировщика SAML.

В обоих режимах можно определить, отличается ли NameID от ид. пользователя в Ariba.

Шаги для сбора и вызова журналов:

1. Включите Auth: DEBUG, sso: DEBUG и user: Info for all the UI Nodes.
2. После того как пользователь попытается войти в Ariba через Single Sign-On (SSO). Отключите журналы для всех узлов UI заготовки или выбора источника поставки и извлеките файлы журнала.
3. Во всех узлах UI выполните поиск (Ctrl+F) SAMLResponse и скопируйте всю строку SAMLResponse из файла журнала (где бы она ни была найдена). Обратите внимание на узел сообщества клиента и время попытки входа пользователя в систему, поэтому вы будете знать, что извлекаете правильный SAMLResponse.
4. Вставьте SAMLResponse, как показано ниже в Notepad++, найдите тег <NameID> и проверьте, какой ид. пользователя передается в ответе SAML.

Кроме того, можно просмотреть проблемы с точками ответа SAML на подпись.

</ds:Signature><samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/><samlp:StatusMessage>Невозможно проверить подпись</samlp:StatusMessage></samlp:Status></samlp:Response>

Новый сертификат, обновляемый на веб-серверах, относится к алгоритму SHA256 (Secure Hash Algorithm 2, 256 bits). Однако мы по-прежнему создаем подписи с SHA1, а не SHA256. (Обратите внимание, что центры сертификации не будут предоставлять новые сертификаты SHA1, так как большинство браузеров рассматривают сайты с сертификатом SHA1 как небезопасные.)

Если SSO для сферы настроен для отправки запросов SAML, то клиент должен иметь новый сертификат, а не сертификат Ariba с истекшим сроком действия.

SAP Ariba поддерживает сертификаты SHA1 и SHA256 от клиента (провайдера идентичности) и не делает сертификат SHA256 обязательным на стороне клиента.

Это можно увидеть в запросе SAML, отправленном из SAP Ariba. Пример:

<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"

Для устранения этой проблемы группа клиента по информационным технологиям (ИТ) должна выполнить следующие шаги:

1. Загрузите сертификат Ariba для квитирования или доверия.
2. Откройте конечную точку, заданную для Ariba, в ADFS.
3. Перейдите на страницу Свойства Ariba.
4. Перейдите на вкладку Дополнительно.
5. Установите параметр Укажите защищенный алгоритм хеширования, который будет использоваться для доверия доверительной стороны к SHA1.
6. Щелкните Uniform Resource Locator (URL), чтобы проверить успешность аутентификации пользователя.

Пользователь не существует. Ошибка также может появляться по многим другим причинам, таким как несовпадение сертификата на обоих концах, несовпадение формата NameId на обоих концах, неактивность пользователя в системе Ariba, отсутствие учетной записи пользователя в Ariba и т. д.

Убедитесь, что ид. пользователя, отправленный клиентом, соответствует ид. пользователя, сохраненному в Ariba. В этом случае учитывается регистр.

Procurement Application Services > Application Framework > Single Sign-On
Закупки
Стратегические закупки
Стратегические контракты
Управление информацией и качеством работы поставщиков