シングルサインオン (SSO) を使用してログインしようとすると、以下のエラーが表示されます。

認証エラー - ユーザのチェックに失敗しました。詳細については、管理者に問い合わせてください。

エラーログに Failed to get Name id と表示されます。スタック: ariba.util.saml.SAMLException: 条件が無効です。

ADFS サーバー時間は、SAP Ariba のサーバー時刻と同期されている必要があります。以下の 2 つの解決方法が考えられます。

• Application.SamlConfiguration.ValidationClockSkew パラメータを使用して、SAP Ariba システムでスキュー値 (許容範囲) を増やします。サーバ時間が一致しない場合に許容範囲とみなされる値 (ミリ秒単位) を設定します。大きいほうの値に制限はなく、問題を解決する有効な値に設定することができます。
• ネットワークタイムプロトコル (NTP) を使用して ADFS サーバを同期し、サーバ時間が時間の経過とともに漂わないようにします。NTP がないと、すべてのサーバの時間が漂います。

NameID は、Active Directory Federation Services (ADFS) サーバー時間が原因で SAP Ariba によって拒否されます。ユーザーインターフェイス (UI) のエラーログの例を以下に示します。

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z"><AudienceRestriction><Audience>http://realmname.procurement-eu.ariba.com</Audience></AudienceRestriction></Conditions>

Fri Jan 20 05:31:15 PST 2017 (T93:*:*:*:dlpjbk:C23_UI3:x0914) (ユーザ: WARN) [ID100007]: 名前 ID を取得できませんでした。スタック: ariba.util.saml.SAMLException: 条件が無効です。

失敗した条件 (上記のシナリオで受信した Security Assertion Markup Language (SAML) 応答からコピー) は以下のとおりです。

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z">

※Zはズールータイムを指す。そのため、時刻をズールーから太平洋標準時 (PST) に変換する必要があります。

SAML 応答が Not Before 条件より 8 秒早く SAP Ariba に到達すると、条件が偽を返してログインが失敗します。

エラーログに Failed to get Name id が含まれている場合。スタック: ariba.util.saml.SAMLException: org.opensaml.xml.validation.ValidationException: 上記の条件が満たされず、認証情報のキーに対して署名が検証されませんでした。「証明書の期限切れ」を参照してください。

代わりに、Authentication Error - Authentication Failed というエラーが表示された場合は、Invalid SAML を参照してください。

Spend Visibility
Strategic Sourcing
Supplier Information & Performance Management
戦略的契約
購入