Error: "Authentication Error - Failed to validate the user" SSO login server time issue

	Deutsch - Maschinelle Übersetzung	
English Español - Maschinelle Übersetzung Français (France) - Maschinelle Übersetzung Italiano - Maschinelle Übersetzung 日本語 - Maschinelle Übersetzung 한국어 - Maschinelle Übersetzung Português (Brasil) - Maschinelle Übersetzung Русский - Maschinelle Übersetzung 简体中文 - Maschinelle Übersetzung

Support-Hinweis KB0395817

Fehler: "Authentifizierungsfehler - Benutzer konnte nicht validiert werden" SSO-Anmeldeserver-Zeitproblem

Dieser Wissensdatenbankartikel wurde maschinell übersetzt. SAP übernimmt keine Gewährleistung für die Richtigkeit oder Vollständigkeit der Maschinenübersetzung. Sie können den Originalinhalt anzeigen, indem Sie über die Sprachauswahl zu "Englisch" wechseln.

Problem

Wenn ich versuche, mich mit Single Sign-On (SSO) anzumelden, erhalte ich den folgenden Fehler:

Authentifizierungsfehler - Benutzer konnte nicht validiert werden. Wenden Sie sich an Ihren Administrator, um weitere Unterstützung zu erhalten.

Im Fehlerprotokoll wird Fehler beim Abrufen der Namens-ID angezeigt. Stack: ariba.util.saml.SAMLException: Bedingung ist ungültig.

Auflösung

Ihre ADFS-Serverzeit sollte mit der Serverzeit von SAP Ariba übereinstimmen. Es gibt zwei mögliche Lösungen:

Erhöhen Sie den Schiefwert (Toleranz) in SAP Ariba mit dem Parameter Application.SamlConfiguration.ValidationClockSkew. Legen Sie einen Wert (in Millisekunden) fest, der bei einer Serverzeitinkonsistenz als Toleranz berücksichtigt werden soll. Es gibt keine Beschränkung für den höheren Wert, und er kann auf einen gültigen Wert gesetzt werden, der das Problem behebt.
Synchronisieren Sie Ihren ADFS-Server mit Network Time Protocol (NTP), sodass die Serverzeit nicht über die Zeit driftet. Ohne NTP treibt sich die Zeit aller Server.

Ursache

Die NameID wird von SAP Ariba aufgrund der Serverzeit der Active Directory Federation Services (ADFS) zurückgewiesen. Ein Beispiel für ein Fehlerprotokoll auf der Benutzungsoberfläche (UI) zeigt Folgendes:

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z"><AudienceRestriction><Audience>http://realmname.procurement-eu.ariba.com</Audience></AudienceRestriction></Conditions>

Fri Jan 20 05:31:15 PST 2017 (T93:*:*:*:dlpjbk:C23_UI3:x0914) (user:WARN) [ID100007]: Fehler beim Abrufen der Namens-ID. Stack: ariba.util.saml.SAMLException: Bedingung ist ungültig.

Die Bedingung, die fehlgeschlagen ist (kopiert aus der SAML-Antwort (Security Assertion Markup Language), die im obigen Szenario empfangen wurde), lautet wie folgt:

Hinweis: Z bezieht sich auf die Zulu-Zeit. Daher müssen Sie die Zeit von Zulu in Pacific Standard Time (PST) umrechnen.

Die SAML-Antwort erreicht SAP Ariba acht Sekunden früher als die Bedingung Nicht vor, was dazu führt, dass die Bedingung falsch zurückgibt und die Anmeldung fehlschlägt.

Zusätzliche Informationen

Wenn das Fehlerprotokoll Folgendes enthält: Abrufen der Namens-ID fehlgeschlagen. Stack: ariba.util.saml.SAMLException: org.opensaml.xml.validation.ValidationException: Signatur hat nicht gegen den Schlüssel der Anmeldeinformationen validiert, anstatt die oben genannte Bedingung nicht zu erfüllen, siehe Zertifikat abgelaufen.

Wenn Sie stattdessen den Fehler Authentifizierungsfehler - Authentifizierung fehlgeschlagen erhalten, finden Sie weitere Informationen unter Ungültige SAML.

Gilt für

Einkauf
Spend Visibility
Strategische Beschaffung
Strategische Verträge
Supplier Information and Performance Management