BASE DE CONNAISSANCES

Erreur intermittente " Unable to Sign In " avec l'authentification unique SAML sur Tableau Server


Date de publication : 17 Nov 2016
Date de dernière modification : 18 Jun 2019

Problème

Lorsque Tableau Server a été configuré pour l'authentification SAML, les utilisateurs reçoivent par intermittence l'erreur suivante :

Unable to Sign In (Impossible de se connecter)
Invalid username or password (Nom d'utilisateur ou mot de passe non valide)
Try Again (Réessayez)

Les journaux VizPortal, lorsqu'ils sont définis sur l'enregistrement au niveau du débogage*, indiquent ce qui suit :

...DEBUG org.springframework.security.saml.websso.WebSSOProfileConsumerImpl - Validation of received assertion failed, assertion will be skipped (La validation de l'assertion reçue a échoué, l'assertion sera ignorée)
org.springframework.security.authentication.CredentialsExpiredException: Authentication statement is too old to be used. (La déclaration d'authentification est trop ancienne pour être utilisée.)

*Les journaux Tableau Server VizPortal doivent être définis sur le niveau de débogage avant que l'erreur se produise, afin d'enregistrer le message d'erreur affiché ci-dessus. Pour plus d'informations sur les niveaux de journalisation, consultez Modifier les niveaux de journalisation.

    Environnement

    • Tableau Server
    • Authentification SAML

    Résolution

    Pour résoudre temporairement l'erreur, déconnectez-vous de l'IdP puis reconnectez-vous.

    Pour éviter que l'erreur se produise, configurez Tableau Server et l'IdP/AD (Fournisseur d'identité et/ou Active Directory) de manière à ce qu'ils aient tous le même âge d'authentification maximum. Le paramètre d'âge d'authentification maximum sur Tableau Server est wgserver.saml.maxauthenticationage et utilise le temps en unités de secondes. Le paramètre le plus haut possible pour l'âge d'authentification maximum de Tableau Server est de 90 jours ou 7776000 secondes.

    Remarque : dans Tableau Server 10.5.3 et versions antérieures,  wgserver.saml.maxauthenticationage peut être défini sur un réglage maximum de 2073600 secondes (à savoir 24 jours).

    Cause

    Si l'IdP ou AD inclut un paramètre d'âge maximum des jetons qui est défini sur une durée supérieure au paramètre d'âge maximum sur Tableau Server, dès qu'un jeton est plus ancien que l'âge autorisé sur Tableau Server, l'erreur « unable to sign in, invalid username or password » (échec de la connexion, nom d'utilisateur ou mot de passe non valide) se produit parce l'IdP considère le jeton comme valide alors que Tableau Server ne le reconnaît pas comme tel.
    Cet article vous a-t-il permis de résoudre le problème ?