Error: "Authentication Error - Failed to validate the user" SSO login server time issue

	Italiano - Traduzione automatica	
Deutsch - Traduzione automatica English Español - Traduzione automatica Français (France) - Traduzione automatica 日本語 - Traduzione automatica 한국어 - Traduzione automatica Português (Brasil) - Traduzione automatica Русский - Traduzione automatica 简体中文 - Traduzione automatica

Nota di supporto KB0395817

Errore: "Errore di autenticazione - Convalida dell'utente non riuscita" Problema di ora del server di accesso SSO

Per comodità dell'utente, questo articolo della Knowledge Base è stato tradotto automaticamente. SAP non fornisce alcuna garanzia in merito alla correttezza o alla completezza della traduzione automatica. È possibile visualizzare il contenuto originale passando all'inglese nel selettore della lingua.

Problema

Quando tento di accedere utilizzando il Single Sign-On (SSO), ricevo il seguente errore:

Errore di autenticazione - Impossibile convalidare l'utente. Contattare l'amministratore per ulteriore assistenza.

Il registro degli errori mostra Impossibile ottenere l'ID nome. Stack: ariba.util.saml.SAMLException: condizione non valida.

Risoluzione

L'ora del server ADFS deve essere sincronizzata con l'ora del server SAP Ariba. Esistono due possibili soluzioni:

Aumentare il valore skew (tolleranza) in SAP Ariba utilizzando il parametro Application.SamlConfiguration.ValidationClockSkew. Impostare un valore (in millisecondi) da considerare la tolleranza in caso di mancata corrispondenza del tempo del server. Non esiste alcun limite al valore superiore e può essere impostato su un valore valido che risolve il problema.
Sincronizzare il server ADFS utilizzando Network Time Protocol (NTP), in modo che il tempo del server non derivi nel tempo. Senza NTP, il tempo di tutti i server deriva.

Causa

Il NameID viene rifiutato da SAP Ariba a causa dell'ora del server ADFS (Active Directory Federation Services). Un registro errori di esempio nell'interfaccia utente (UI) mostra:

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z"><AudienceRestriction><Audience>http://realmname.procurement-eu.ariba.com</Audience></AudienceRestriction></Conditions>

Ven gen 20 05:31:15 PST 2017 (T93:*:*:*:dlpjbk:C23_UI3:x0914) (user:WARN) [ID100007]: impossibile ottenere ID nome. Stack: ariba.util.saml.SAMLException: condizione non valida.

La condizione non riuscita (copiata dalla risposta SAML (Security Assertion Markup Language) ricevuta nello scenario precedente) è la seguente:

Nota: Z si riferisce al tempo di Zulu. Pertanto, è necessario convertire l'ora da Zulu a Pacific Standard Time (PST).

La risposta SAML raggiunge SAP Ariba otto secondi prima della condizione Non prima, il che fa sì che la condizione restituisca false e che il login non riesca.

Informazioni supplementari

Se il registro errori include Non è stato possibile ottenere l'ID nome. Stack: ariba.util.saml.SAMLException: org.opensaml.xml.validation.ValidationException: la firma non è stata convalidata in base alla chiave della credenziale anziché alla condizione precedente non soddisfatta; vedere Certificato scaduto.

Se invece si riceve l'errore Errore di autenticazione - Autenticazione non riuscita, consultare SAML non valido.

Si applica a

Acquisti
Contratti strategici
Spend Visibility
Strategic Sourcing
Supplier Information & Performance Management