Fehlermeldung "Lifetime validation failed" oder "Token not valid" beim Login Versuch über Single-Sign-On
"The token is expired":
"The token is not valid anymore":
oder:
"The token is not yet valid":
Wahrscheinliche Ursache:
Die Serverzeit im Active Directory weicht von der Zeit ab, die auf dem System eingestellt ist, von dem aus der Login Versuch getätigt wurde (Zeit liegt in der Vergangenheit oder in der Zukunft). Dadurch kann der Validierungs-Token, der zur Sicherheit einen Zeitablauf hat, bereits als "abgelaufen" oder "noch nicht gültig" abgelehnt werden. Aus Sicherheitsgründen haben die erzeugten Token nur eine begrenzte Gültigkeit die sich mit der jeweiligen Systemzeit abgleicht.
Lösung:
Bitte prüfen Sie, ob die Zeit im Active Directory bzw. auf dem Server, auf dem das Authentifizierungstool installiert ist, korrekt bzw. einheitlich gesetzt wurde (z.B. über NTP) Der Test kann z.B. einfach erfolgen, indem eine Website zum Zeitabruf geöffnet und mit der jeweiligen Systemzeit verglichen wird. Die Abweichungstoleranz darf maximal nur +/- 30 Sekunden betragen.
Nach Klick auf den Login Button im Browser erscheint trotz Single-Sign-On eine Aufforderung zur Eingabe von Anmeldeinformationen
Mögliche Ursachen:
Dies kann unterschiedliche Gründe haben:
•Der User meldet sich nicht mit einem AD Account an sondern mit einem lokalen Windows User. Dies lässt sich z.B. über den Info-Link (in den AD-Integrations-Einstellungen) im Ticketsystem testen.
•Die Maschine auf dem der Browser ausgeführt wird, wird nicht vom Server getrusted auf dem das Authentifizierungstool installiert ist.
•Der Server auf dem das Authentifizierungstool installiert ist, wird nicht implizit vom AD getrusted.
•Ein impliziter Windows Login wird durch Gruppenrichtlinien (oder Sicherheitseinstellungen) unterbunden
Lösung:
Bitte prüfen Sie in dem Fall die betreffenden Einstellungen des betreffenden Users im AD bzw. in Ihrer Umgebung bezogen auf die genannten Ursachen.