Single Sign-On Instellen
SSO-aanmelding toont "SAML response is not valid before" of HTTP 400
Pogingen om via SSO in te loggen in Chrome resulteren in de foutmelding:
Error: {“error”: “SAML Response is not valid before: …}
In Internet Explorer 11 verschijnt een HTTP 400-fout.
Oorzaken en oplossingen
Oorzaak 1
De timestamp in de SAML-response wijkt af tussen ADFS en Zivver. Zelfs een verschil van enkele milliseconden kan deze fout veroorzaken.
Oplossing 1
Synchroniseer de klokken van alle domeincontrollers. Hierdoor komt de timestamp in de SAML-response weer overeen met UTC.
OpmerkingOorzaak 2
De klok op de ADFS-server is niet gesynchroniseerd.
Oplossing 2
Synchroniseer de klok handmatig. Zie voor meer informatie:
Oorzaak 3
De serverconfiguratie veroorzaakt een vertraging. Er kan een verschil in systeemtijd zijn tussen de ADFS-server en de domeincontroller. Mogelijke oorzaken zijn:
- De ADFS-server is een virtuele machine.
- Er is sprake van een multi-tenantconfiguratie.
Als de virtuele machine de tijd synchroniseert met de host of master, kan er een kleine vertraging optreden tussen de ADFS- en DC-systemen.
Oplossing 3
Synchroniseer de virtuele machine of de slave rechtstreeks met time.windows.com. Gebruik hierbij niet de klok van de host of master.
Zie voor meer informatie:
Meer oplossingen
Als de fout ({"error": "SAML Response is not valid before: ...}) nog steeds verschijnt, probeer dan deze oplossingen:
Synchroniseer met andere NTP-servers (Network Time Protocol)
Voorbeelden:
Verhoog de waarde van -NotBeforeSkew
Gebruik de Set-AdfsRelyingPartyTrust-opdracht in PowerShell. Hiermee verhoog je de geldigheidsduur van de SAML-response.
Met het onderstaande commando wordt de afwijking verhoogd naar 5 minuten. De naam van de relying party is meestal “Zivver” of “app.zivver.com”.
Set-ADFSRelyingPartyTrust -TargetRelyingParty "<Relying Party name>" -NotBeforeSkew 5
Zie voor meer informatie Set-AdfsRelyingPartyTrust.