Error: "Authentication Error - Failed to validate the user" SSO login server time issue

	Русский - Машинный перевод	
Deutsch - Машинный перевод English Español - Машинный перевод Français (France) - Машинный перевод Italiano - Машинный перевод 日本語 - Машинный перевод 한국어 - Машинный перевод Português (Brasil) - Машинный перевод 简体中文 - Машинный перевод

Информация от службы поддержки KB0395817

Ошибка: "Ошибка аутентификации - не удалось проверить пользователя". Проблема с временем сервера входа SSO

Для Вашего удобства эта статья базы знаний переведена машинными средствами. SAP не предоставляет никаких гарантий правильности или полноты машинного перевода. Исходное содержимое можно увидеть, переключившись на английский язык с помощью селектора языка.

Проблема

При попытке входа с помощью Single Sign-On (SSO) я получаю следующую ошибку:

Ошибка аутентификации - не удалось проверить пользователя. Обратитесь к администратору за помощью.

В журнале ошибок отображается Не удалось получить ид. имени. Стек: ariba.util.saml.SAMLException: условие недействительно.

Разрешение

Время сервера ADFS должно быть синхронизировано со временем сервера SAP Ariba. Существует два возможных решения:

Увеличьте косовое значение (допуск) в SAP Ariba с помощью параметра Application.SamlConfiguration.ValidationClockSkew. Установите значение (в миллисекундах), которое будет считаться допуском в случае несоответствия времени сервера. Верхнее значение не ограничено, и его можно установить на действительное значение, которое решает проблему.
Синхронизируйте сервер ADFS с помощью протокола сетевого времени (NTP), чтобы время сервера не переносилось с течением времени. Без NTP все серверы теряют время.

Причина

NameID отклонен SAP Ariba из-за времени сервера служб федерации Active Directory (ADFS). Пример журнала ошибок в пользовательском интерфейсе (UI):

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z"><AudienceRestriction><AudienceRestriction><Audience>http://realmname.procurement-eu.ariba.com</AudienceRestriction></Conditions>

Пт 20 января 05:31:15 PST 2017 (T93:*:*:*:dlpjbk:C23_UI3:x0914) (пользователь:WARN) [ID100007]: Не удалось получить ид. имени. Стек: ariba.util.saml.SAMLException: условие недействительно.

Условие, которое не удалось выполнить (скопировано из ответа Security Assertion Markup Language (SAML), полученного в приведенном выше сценарии):

Примечание: Z означает Зулусское время. Следовательно, необходимо преобразовать время из зулу в тихоокеанское стандартное время (PST).

Ответ SAML достигает SAP Ariba на восемь секунд раньше условия Не ранее, что приводит к тому, что условие возвращает значение FALSE, и вход в систему завершается неудачно.

Дополнительная информация

Если журнал ошибок включает Failed to get Name id (Не удалось получить ид. имени). Стек: ariba.util.saml.SAMLException: org.opensaml.xml.validation.ValidationException: подпись не проверила по ключу учетных данных, а указанное выше условие не выполнено, см. Сертификат истек.

Если вместо этого вы получаете ошибку Ошибка аутентификации - Ошибка аутентификации, см. раздел Недействительный SAML.

Применимо к

Видимость затрат
Закупки
Стратегические закупки
Стратегические контракты
Управление информацией и качеством работы поставщиков