知识库

Tableau Server 上的 SAML SSO 出现间歇性错误“Unable to Sign In”


发布时间: 17 Nov 2016
上次修改日期: 29 Dec 2020

问题

将 Tableau Server 配置为使用 SAML 身份验证后,用户可能会间歇性地遇到以下错误:

Unable to Sign In(无法登录)
Invalid username or password(用户名或密码无效)
Try Again(请重试)

如果设置为在调试级别*进行记录,VizPortal 日志指明以下错误:

...DEBUG org.springframework.security.saml.websso.WebSSOProfileConsumerImpl - Validation of received assertion failed, assertion will be skipped 
org.springframework.security.authentication.CredentialsExpiredException: Authentication statement is too old to be used.(...DEBUG org.springframework.security.saml.websso.WebSSOProfileConsumerImpl - 验证收到的声明失败,将跳过声明 org.springframework.security.authentication.CredentialsExpiredException:身份验证语句太旧,无法使用。)

*在遇到错误之前,必须将 Tableau Server VizPortal 日志设置为调试级别才能记录如上所示的错误消息。有关日志记录级别的详细信息,请参阅更改日志记录级别

    环境

    • Tableau Server
    • SAML 身份验证

    解决方案

    若要暂时解决此错误,请注销 IdP 并重新登录。

    为了防止该错误发生,请将 Tableau Server 和 IdP/AD(身份提供程序和/或 Active Directory)配置为均具有相同的最长身份验证期限。Tableau Server 的最长身份验证期限设置为 wgserver.saml.maxauthenticationage,以秒为单位计时。Tableau Server 的最长身份验证期限最长可设置为 90 天(或 7776000 秒)。

    注意:在 Tableau Server 10.5.3 及更低版本中,wgserver.saml.maxauthenticationage 最长可设置为 2073600 秒(即24 天)。

    原因

    如果 IdP 或 AD 的最长令牌期限设置的时间长度比 Tableau Server 上的最长期限要长,则每当令牌比 Tableau Server 允许的期限旧时,将会出现“无法登录,用户名或密码错误”错误,原因是 IdP 将令牌视为有效,而同时 Tableau Server 则将令牌视为无效。
    此文章是否已解决问题?