BASE DE CONOCIMIENTO

Error intermitente "Unable to Sign In" (No se puede iniciar sesión) con el SSO de SAML en Tableau Server


Publicado: 17 Nov 2016
Fecha de la última modificación: 21 Feb 2023

Problema

Cuando Tableau Server se configura para la autenticación SAML, los usuarios reciben de forma intermitente el error siguiente:

Unable to Sign In (No se puede iniciar sesión)
Contraseña o nombre de usuario no válido
Try again (Vuelva a intentarlo).

Además, aparece el siguiente mensaje en los registros VizPortal de Tableau Server:

Authentication statement is too old to be used with value. (La instrucción de autenticación es demasiado antigua para usarla con el valor).

Entorno

  • Tableau Server
  • Autenticación SAML

Solución

Para solucionar el error de forma temporal, cierre la sesión de IdP y vuelva a iniciarla.

Para impedir que se produzca el error, configure Tableau Server e IdP/AD (proveedor de identidades o Active Directory) para que todos tengan la misma antigüedad máxima de autenticación. El ajuste de la antigüedad máxima de autenticación de Tableau Server es wgserver.saml.maxauthenticationage y acepta tiempo en unidades de segundos. 

Los siguientes pasos requieren reiniciar Tableau Server.

Pasos en Tableau Server para Linux o Tableau Server para Windows, versión 2018.2 o posteriores:
  1. Abra un shell de comando de Linux o cmd de Windows con la opción Ejecutar como administrador:
  2. tsm authentication saml configure -a <maximum authentication age in seconds>
  3. tsm pending-changes apply

Pasos en Tableau Server para Windows, versión 2018.1 o anteriores:
  1. Abra el símbolo del sistema con la opción Ejecutar como administrador.
  2. Cambie el directorio al directorio bin de Tableau Server. La ubicación predeterminada es C:\Program Files\Tableau\Tableau Server\<versión>\bin.
  3. tabadmin set wgserver.saml.maxauthenticationage <maximum authentication age in seconds>
  4. tabadmin config
  5. tabadmin restart

Causa

Si se establece el valor de IdP o AD para la antigüedad máxima de tokens en una duración superior al tiempo del valor de antigüedad máxima en Tableau Server, si un token es anterior a la antigüedad permitida de Tableau Server, se mostrará el error “No se puede iniciar sesión, nombre de usuario o contraseña no válidos” porque IdP considera el token como válido, pero Tableau Server no lo reconoce como válido.
¿Fue de ayuda este artículo para resolver el problema?