1. Fehlermeldung "Lifetime validation failed" oder "Token not valid" beim Login Versuch über Single-Sign-On
"The token is expired":
"The token is not valid anymore":
oder:
"The token is not yet valid":
Wahrscheinliche Ursache:
Die Serverzeit im Active Directory weicht von der Zeit ab, die auf dem System eingestellt ist, von dem aus der Login Versuch getätigt wurde (Zeit liegt in der Vergangenheit oder in der Zukunft). Dadurch kann der Validierungs-Token, der zur Sicherheit einen Zeitablauf hat, bereits als "abgelaufen" oder "noch nicht gültig" abgelehnt werden. Aus Sicherheitsgründen haben die erzeugten Token nur eine begrenzte Gültigkeit die sich mit der jeweiligen Systemzeit abgleicht.
Lösung:
Bitte prüfen Sie, ob die Zeit im Active Directory bzw. auf dem Server, auf dem das Authentifizierungstool installiert ist, korrekt bzw. einheitlich gesetzt wurde (z.B. über NTP) Der Test kann z.B. einfach erfolgen, indem eine Website zum Zeitabruf geöffnet und mit der jeweiligen Systemzeit verglichen wird. Die Abweichungstoleranz darf maximal nur +/- 30 Sekunden betragen.
2. Nach Klick auf den Login Button im Browser erscheint trotz Single-Sign-On eine Aufforderung zur Eingabe von Anmeldeinformationen
Mögliche Ursachen:
Dies kann unterschiedliche Gründe haben:
•Der User meldet sich nicht mit einem AD Account an sondern mit einem lokalen Windows User. Dies lässt sich z.B. über den Info-Link (in den AD-Integrations-Einstellungen) im Ticketsystem testen.
•Die Maschine auf dem der Browser ausgeführt wird, wird nicht vom Server getrusted auf dem das Authentifizierungstool installiert ist.
•Der Server auf dem das Authentifizierungstool installiert ist, wird nicht implizit vom AD getrusted.
•Ein impliziter Windows Login wird durch Gruppenrichtlinien (oder Sicherheitseinstellungen) unterbunden
Lösung:
Bitte prüfen Sie in dem Fall die betreffenden Einstellungen des betreffenden Users im AD bzw. in Ihrer Umgebung bezogen auf die genannten Ursachen.
3. Fehlermeldung: Bad Request -Request Too Long beim Versuch über Single-Sign On
Mögliche Ursache:
Das Authentication-Tool übernimmt bestimmte limitierende Systemwerte (z. B. die maximal zulässige Länge des Request-Headers) von der Maschine, auf der es installiert ist.
Befindet sich ein Benutzer in sehr vielen Active-Directory-Gruppen, kann dies dazu führen, dass der Request-Header ungewöhnlich groß wird. Überschreitet dieser die auf dem System hinterlegte Maximalgröße, kann die Authentifizierung fehlschlagen.
Lösung:
Die Werte MaxFieldLength und MaxRequestBytes können in der Windows-Registrierung (Windows Registry) für IIS (Internet Information Services) angepasst werden.
Diese Registrierungseinstellungen steuern, wie viele Header-Daten vom IIS akzeptiert werden.
Über Ausführen (Run) wird der Registrierungs-Editor (Registry Editor) durch Eingabe von regedit geöffnet. Anschließend ist zu folgendem Pfad zu navigieren:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters
Sollten die entsprechenden Schlüssel (Keys) nicht vorhanden sein, müssen diese manuell erstellt werden:
oMaxFieldLength (DWORD-Wert / DWORD Value)
▪Basis: Dezimal (Decimal)
▪Wert: 65534
oMaxRequestBytes (DWORD-Wert / DWORD Value)
▪Basis: Dezimal (Decimal)
▪Wert: 65534
Durch diese Anpassungen wird die maximal zulässige Größe der HTTP-Header erhöht, die vom IIS verarbeitet werden können. Anschließend muss das IIS neugestartet werden.