 |
| ||||||||
Убедитесь, что сертификат веб-сервера корректен, и всякий раз, когда выполняется обновление сертификата, Ariba просит клиентов обновить новый сертификат на своем сервере IdP, чтобы соглашение о квитировании Hypertext Transfer Protocol Secure (HTTPS) было завершено и не блокировано. Новый обновленный сертификат Ariba имеет тип SHA2 (безопасный хеш-алгоритм 2, 256 бит). В этом случае клиент обновил новый сертификат на своем сервере ADFS, а также изменил алгоритм безопасного хеширования, чтобы использовать для этого доверия полагающейся стороны к SHA2.
В другом случае клиент не обновил новый сертификат подписи Ariba и все еще имеет старый сертификат, срок действия которого истек.
Регистрировать журналы можно двумя способами.
- Можно включить расширенную запись в журнал в области клиента > SSO (трассировка единого входа) и авторизацию (запросы аутентификации) и после этого попросить клиента воспроизвести ошибку.
- Записывайте журналы с помощью внешнего плагина Google Chrome > трассировщика SAML.
В обоих режимах можно определить, отличается ли NameID от UserID в Ariba.
Шаги для записи и вызова журналов:
- Включите полномочия: DEBUG, sso: DEBUG и пользователя: информация для всех узлов UI.
- После того как пользователь попытается войти в Ariba через Single Sign-On (SSO). Выключите журналы для всех узлов UI заготовки или выбора источника поставки и извлеките файлы журнала.
- Во всех журналах узлов UI найдите (Ctrl+F) SAMLResponse и скопируйте всю строку SAMLResponse из файла журнала (где бы он ни был найден). Обратите внимание на узел сообщества клиента и время попытки входа пользователя в систему, чтобы получить правильный SAMLResponse.
- Вставьте SAMLResponse, как показано ниже, в Notepad++ найдите тег <NameID> и посмотрите, какой ид. пользователя передан в ответе SAML.
Кроме того, можно увидеть, что ответ SAML указывает на проблему подписи.
</ds:Signature><samlp:Status><samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Responder"/><samlp:StatusMessage>Не удалось проверить подпись</samlp:StatusMessage></samlp:Status></samlp:Response
Новый сертификат, обновленный на наших веб-серверах, относится к алгоритму SHA256 (Secure Hash Algorithm 2, 256 bits). Тем не менее, мы по-прежнему создаем подписи с SHA1, а не SHA256. (Обратите внимание, что центры сертификации не будут предоставлять новые сертификаты SHA1, так как большинство браузеров рассматривают сайты с сертификатом SHA1 как небезопасные.)
Если SSO для сферы настроен на отправку запросов SAML, то клиенту требуется новый сертификат, а не сертификат Ariba с истекшим сроком действия.
SAP Ariba поддерживает сертификаты SHA1 и SHA256 от клиента (провайдера идентичности) и не делает сертификат SHA256 обязательным на стороне клиента.
Это можно будет увидеть в запросе SAML, отправленном из SAP Ariba. Пример:
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"
Чтобы устранить эту проблему, группа информационных технологий (ИТ) клиента должна выполнить следующие шаги:
- Загрузите сертификат Ariba для квитирования или доверия.
- Откройте конечную точку Ariba в ADFS.
- Перейдите на страницу Свойства Ariba.
- Перейдите на вкладку Дополнительно.
- Установите Указать алгоритм безопасного хеширования, который будет использоваться для доверия полагающейся стороны с SHA1.
- Щелкните URL, чтобы проверить успешность аутентификации пользователя.
Пользователь не существует. Ошибка также может возникнуть по многим другим причинам, таким как несовпадение сертификата с обеих сторон, несовпадающий формат NameId на обеих сторонах, неактивный пользователь в системе Ariba, учетная запись пользователя, не существующая в Ariba, и т. д.
Убедитесь, что идентификатор пользователя, отправленный от клиента, совпадает с идентификатором, сохраненным в Ariba в качестве идентификатора пользователя. В этом случае учитывается регистр.
Procurement Application Services > Application Framework > Single Sign-On
Закупки
Стратегические закупки
Стратегические контракты
Управление информацией и качеством работы поставщиков