Tableau Server에서 SAML SSO와 관련된 간헐적 오류 "Unable to Sign In" 발생

문제

SAML 인증을 사용하도록 Tableau Server를 구성한 경우 다음 오류가 간헐적으로 발생합니다.

Unable to Sign In(로그인할 수 없음)
Invalid username or password(잘못된 사용자 이름 또는 암호)
Try Again(다시 시도하십시오.)

디버그 수준* 로그로 설정한 경우 VizPortal 로그에 다음이 표시됩니다.

...DEBUG org.springframework.security.saml.websso.WebSSOProfileConsumerImpl - Validation of received assertion failed, assertion will be skipped(수신 어설션의 유효성 검사 실패, 어설션을 건너뜀)
org.springframework.security.authentication.CredentialsExpiredException: Authentication statement is too old to be used(인증 문이 너무 오래되어 사용할 수 없음)

*위에 표시된 오류 메시지가 기록되려면 오류 발생 전에 Tableau Server VizPortal 로그가 디버그 수준으로 설정되어 있어야 합니다. 로깅 수준에 대한 자세한 내용은 로깅 수준 변경을 참조하십시오.

환경

Tableau Server
SAML 인증

해결 방법

오류를 임시로 해결하려면 IdP에서 로그아웃했다가 다시 로그인합니다.

오류의 발생을 방지하려면 Tableau Server와 IdP/AD(ID 공급자 및/또는 Active Directory)에서 모두 동일한 최대 인증 수명을 사용하도록 구성합니다. Tableau Server의 최대 인증 수명 설정은 wgserver.saml.maxauthenticationage이며 초 단위의 시간을 사용합니다.Tableau Server의 최대 인증 수명에 가능한 가장 높은 설정은 90일 또는 7776000초입니다.

참고: Tableau Server 10.5.3 이하 버전에서는 wgserver.saml.maxauthenticationage를 2073600초(24일)로 설정할 수 있습니다.

원인

IdP 또는 AD에서 토큰의 최대 수명에 대한 설정이 Tableau Server의 최대 수명 설정보다 길게 설정된 경우 토큰의 수명이 Tableau Server의 허용되는 수명보다 오래되면 IdP에서는 이 토큰을 올바른 토큰으로 인식하지만 Tableau Server는 올바른 토큰으로 인식하지 않으므로 "unable to sign in, invalid username or password(로그인할 수 없음, 잘못된 사용자 이름 또는 암호)" 오류가 발생합니다.