尝试使用单点登录 (SSO) 登录时，收到以下错误：

身份验证错误 - 无法验证用户。请联系您的管理员以获得进一步帮助。

错误日志显示“无法获取名称 ID”。堆栈：ariba.util.saml.SAMLException：条件无效。

您的 ADFS 服务器时间应与 SAP Ariba 的服务器时间同步。有两种可能的解决方案：

• 使用 Application.SamlConfiguration.ValidationClockSkew 参数增加 SAP Ariba 上的偏差值（容限）。在服务器时间不匹配的情况下设置要视为容差的值（以毫秒为单位）。较高的值没有限制，并且可以设置为解决问题的有效值。
• 使用网络时间协议 (NTP) 同步 ADFS 服务器，以便服务器时间不会随时间推移而变化。如果没有 NTP，所有服务器的时间漂移。

由于 Active Directory 联合服务 (ADFS) 服务器时间，NameID 被 SAP Ariba 拒绝。用户界面 (UI) 中的错误日志示例如下：

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z"><AudienceRestriction><AudienceRestriction><Audience>http://realmname.procurement-eu.ariba.com</Audience></AudienceRestriction></Conditions>

星期五 Jan 20 05:31:15 PST 2017 (T93:*:*:*:dlpjbk:C23_UI3:x0914) (user:WARN) [ID100007]：无法获取名称标识。堆栈：ariba.util.saml.SAMLException：条件无效。

失败的条件（从上述场景中收到的安全断言标记语言 (SAML) 响应复制）如下：

<Conditions NotBefore="2017-01-20T13:31:23.829Z" NotOnOrAfter="2017-01-20T14:31:23.829Z">

注意：Z 指祖鲁时间。因此，您需要将时间从祖鲁时间转换为太平洋标准时间 (PST)。

SAML 响应到达 SAP Ariba 比不早于条件早 8 秒，这会导致条件返回 false，并且登录失败。

如果错误日志包含未能获取名称 ID。堆栈：ariba.util.saml.SAMLException：org.opensaml.xml.validation.ValidationException：签名未根据凭据的密钥进行验证，而不是不满足上述条件，请参阅证书已过期。

如果您转而收到错误 验证错误 - 验证失败 ，请参阅 无效 SAML 。

Spend Visibility
Supplier Information & Performance Management
战略合同
战略寻源
采购