Loading

Intermittierender Fehler „Invalid username or password“ (Ungültiger Benutzername oder ungültiges Kennwort) bei der Anmeldung bei Tableau Server mit mehreren Knoten über SAML

Veröffentlichungsdatum: Jul 20, 2023
Beschreibung
Nach einer Änderung am IdP oder am Tableau Server, bei der neue IdP-Metadaten importiert werden müssen, kann es vorkommen, dass bei der Anmeldung am Tableau Server über SAML der Fehler „Invalid Username or Password“ (Ungültiger Benutzername oder ungültiges Kennwort) auftritt.

Eine Untersuchung der VizPortal-Protokolle zeigt, dass SAML-Antworten vom IdP, die vom primären Knoten verarbeitet werden, erfolgreich sind, aber Antworten, die von den Arbeitsknoten verarbeitet werden, alle fehlschlagen. Es werden Fehler wie die folgenden angezeigt: 
org.apache.xml.security.signature.XMLSignature – Signature verification failed. (Die Signaturprüfung ist fehlgeschlagen.)
org.springframework.security.saml.websso.WebSSOProfileConsumerImpl – Validation of received assertion failed, assertion will be skipped (Validierung der empfangenen Assertion fehlgeschlagen, Assertion wird übersprungen)
org.opensaml.xml.validation.ValidationException: Signature is not trusted or invalid (Signatur ist nicht vertrauenswürdig oder ungültig)

Hinweis: Die Fehlermeldungen variieren, je nachdem, welcher Teil der Metadaten falsch zugeordnet ist.

Cause

VizPortal verwendet die IdP-Metadaten-Datei, um die Signatur der eingehenden Assertion zu überprüfen.  Durch die Änderungen an den Metadaten wurde die Signatur geändert. Wenn VizPortal also die alten Metadaten verwendet, liest es die Signatur als ungültig. 
Lösung
Kopieren Sie die neuen Metadaten vom IdP auf alle Arbeitsknoten, die einen VizPortal-Prozess bereitstellen. 
Die IdP-Metadaten müssen sich auf den Arbeitsknoten im selben absoluten Pfad befinden wie auf dem Primärknoten. 
Wenn beispielsweise die XML-Metadaten-Datei auf dem Primärknoten unter C:\Programme\Tableau\Tableau Server\SAML\ gespeichert ist, muss die IdP-Metadaten-Datei auf den Arbeitsknoten unter C:\Programme\Tableau\Tableau Server\SAML\ gespeichert sein.  Dieser Pfad ist literal und nicht in Relation zum Installationspfad der Worker-Software.
Wenn Änderungen an der SAML-Schlüssel/Zertifikat-Kombination vorgenommen wurden, müssen diese auch an alle Arbeitsknoten übertragen werden, die einen VizPortal-Prozess bereitstellen, und zwar in genau demselben literalen Pfad wie der Primärknoten.
Zusätzliche Ressourcen
Der auftretende Fehler kann variieren, wenn die Signaturinformationen in den neuen Metadaten gleich sind, aber einige andere Informationen unterschiedlich sind.


Nummer des Knowledge-Artikels

001472934

 
Laden
Salesforce Help | Article