BASE DE CONOCIMIENTO

Error intermitente "Unable to Sign In" con el SSO de SAML en Tableau Server


Publicado: 17 Nov 2016
Fecha de la última modificación: 29 Dec 2020

Problema

Cuando Tableau Server se configura para la autenticación SAML, los usuarios reciben de forma intermitente el error siguiente:

Unable to Sign In (No se puede iniciar sesión)
Invalid username or password (El nombre de usuario o la contraseña no son válidos).
Try Again (Vuelva a intentarlo)

Cuando se establece el registro en el nivel de depuración*, en los registros de VizPortal se indica lo siguiente:

...DEBUG org.springframework.security.saml.websso.WebSSOProfileConsumerImpl - Validation of received assertion failed, assertion will be skipped (… DEBUG org.springframework.security.saml.websso.WebSSOProfileConsumerImpl: la validación de la aserción recibida produjo errores, se omitirá la aserción). 
org.springframework.security.authentication.CredentialsExpiredException: Authentication statement is too old to be used. (org.springframework.security.authentication.CredentialsExpiredException: la instrucción de autenticación es demasiado antigua para usarse).

* Los registros de VizPortal de Tableau Server deben establecerse en el nivel de depuración antes de que se muestre el error para registrar el mensaje de error mostrado anteriormente. Para obtener más información sobre los niveles de registro, consulte Cambiar los niveles de registro.

    Entorno

    • Tableau Server
    • Autenticación SAML

    Solución

    Para solucionar el error de forma temporal, cierre la sesión de IdP y vuelva a iniciarla.

    Para impedir que se produzca el error, configure Tableau Server e IdP/AD (proveedor de identidades o Active Directory) para que todos tengan la misma antigüedad máxima de autenticación. El ajuste de la antigüedad máxima de autenticación de Tableau Server es wgserver.saml.maxauthenticationage y acepta tiempo en unidades de segundos. El mayor ajuste posible para la antigüedad máxima de autenticación de Tableau Server es de 90 días (7776000 segundos).

    Nota: en Tableau Server 10.5.3 y versiones anteriores, puede definirse un ajuste máximo para wgserver.saml.maxauthenticationage de 2073600 segundos (es decir, 24 días).

    Causa

    Si se establece el valor de IdP o AD para la antigüedad máxima de tokens en una duración superior al tiempo del valor de antigüedad máxima en Tableau Server, si un token es anterior a la antigüedad permitida de Tableau Server, se mostrará el error “No se puede iniciar sesión, nombre de usuario o contraseña no válidos” porque IdP considera el token como válido, pero Tableau Server no lo reconoce como válido.
    ¿Fue de ayuda este artículo para resolver el problema?