Hinweis:

Dieser Artikel gilt nicht für SSO-Setups, die den Google-Verbund oder Microsoft Azure Sync verwenden.

Wenn Ihre Organisation SSO über einen dieser Connectors eingerichtet hat, lesen Sie bitte die folgenden Artikel:

Übersicht

Nach erfolgreicher Konfiguration von SSO in der Adobe Admin Console vergewissern Sie sich, dass Sie auf Adobe-Metadatendatei herunterladen geklickt und die SAML-XML-Metadatendatei auf Ihrem Computer gespeichert haben. Der Identitätsanbieter benötigt diese Datei, um Single Sign-on zu aktivieren. Sie müssen die XML-Konfigurationsdetails ordnungsgemäß in Ihren Identitätsanbieter (IdP) importieren. Dies ist für die SAML-Integration mit Ihrem IdP erforderlich und stellt sicher, dass die Daten ordnungsgemäß konfiguriert sind.

Im Folgenden sind einige häufig auftretende Konfigurationsprobleme aufgeführt:

  • Das Zertifikat hat ein anderes Format als PEM.
  • Das Zertifikat hat eine andere Erweiterung als „.cer“. „.pem“ und „.cert“ funktionieren nicht.
  • Das Zertifikat ist verschlüsselt.
  • Das Zertifikat besitzt ein einzeiliges Format. Ein mehrzeiliges Format ist erforderlich.
  • Die Überprüfung der Zertifikatsperrung ist aktiviert (wird derzeit nicht unterstützt).
  • Der IdP-Aussteller in der SAML-Datei stimmt nicht mit der Angabe in der Admin Console überein (z. B. Tippfehler, fehlende Zeichen, https statt http).

Wenn Sie Fragen zur Verwendung der SAML-XML-Metadatendatei zum Konfigurieren Ihres IdP haben, wenden Sie sich direkt an Ihren IdP, um spezifische Anweisungen zu Ihrem IdP zu erhalten.

Einige Beispiele für bestimmte IdPs (keine vollständige Liste, jeder SAML 2-kompatible IdP kann verwendet werden):

Okta: Geben Sie die manuell aus der XML-Datei kopierten erforderlichen Informationen in die entsprechenden Felder auf der Benutzeroberfläche ein, um die Daten ordnungsgemäß zu konfigurieren.

Ping Federate: Laden Sie die XML-Datei hoch oder geben Sie die Daten in die entsprechenden Felder auf der Benutzeroberfläche ein.

Microsoft ADFS: Ihr Zertifikat muss im PEM-Format vorliegen, der Standard für ADFS ist jedoch das DER-Format. Sie können das Zertifikat mit dem Befehl openssl, der unter OS X, Windows und Linux verfügbar ist, wie folgt konvertieren:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Benennen Sie das Zertifikat in „.cer“ um, nachdem Sie den Schritt oben ausgeführt haben.

Stellen Sie außerdem sicher, dass das richtige Zertifikat verwendet wird, wenn Sie mehrere Zertifikate haben. Es muss mit dem Zertifikat übereinstimmen, mit dem auch die Anforderungen signiert werden. (Wenn die Anforderungen beispielsweise mit dem Zertifikat „Token-Signatur“ signiert werden, muss dieses Zertifikat verwendet werden.) Die Überprüfung der Zertifikatsperrung muss deaktiviert sein.

Wenn Sie Ihren IdP nach bestem Wissen konfiguriert haben, versuchen Sie je nach ausgegebenem Fehler eine oder mehrere der folgenden Möglichkeiten.

Adobe-Metadatendatei herunterladen

Grundlegende Fehlerbehebung

Probleme mit Single Sign-on werden häufig durch ganz grundlegende Fehler verursacht, die leicht zu übersehen sind. Überprüfen Sie insbesondere Folgendes:

  • Der Benutzer ist einem Produktprofil mit einer Berechtigung zugeordnet.
  • Der Vorname, der Nachname und die E-Mail-Adresse des Benutzers werden in SAML genau so gesendet, wie sie im Unternehmens-Dashboard angezeigt werden, und sie sind in der SAML mit der korrekten Kennzeichnung vorhanden.
  • Überprüfen Sie alle Einträge in der Admin Console und in Ihrem Identitätsanbieter auf Schreib- oder Syntaxfehler.
  • Der Creative Cloud-Client wurde auf die neueste Version aktualisiert.
  • Der Benutzer meldet sich am richtigen Ort an (Creative Cloud-Client, Creative Cloud-Anwendung oder Adobe.com)

Fehler „Es ist ein Fehler aufgetreten“ mit der Schaltfläche „Wiederholen“

Dieser Fehler tritt normalerweise auf, nachdem die Benutzerauthentifizierung erfolgreich war und Okta die Authentifizierungsantwort erfolgreich an Adobe weitergeleitet hat.

Überprüfen Sie in der Adobe Admin Console Folgendes:

Auf der Registerkarte „Identität“:

  • Stellen Sie sicher, dass die zugeordnete Domäne aktiviert ist.

Auf der Registerkarte „Produkte“:

  • Stellen Sie sicher, dass der Benutzer dem richtigen Produktkurznamen und in der für die Konfiguration als Federated ID beanspruchten Domäne zugeordnet ist.
  • Stellen Sie sicher, dass dem Produktkurznamen die richtigen Berechtigungen zugewiesen sind.

Auf der Registerkarte „Benutzer“:

  • Stellen Sie sicher, dass der Benutzername des Benutzers im Format einer vollständigen E-Mail-Adresse vorliegt.

Anmeldefehler „Zugriff verweigert“

Mögliche Ursachen für diesen Fehler:

  • Der Vorname, der Nachname oder die E-Mail-Adresse, die in der SAML-Zusicherung gesendet werden, stimmen nicht mit den in der Admin Console eingegebenen Informationen überein.
  • Der Benutzer ist nicht dem richtigen Produkt zugeordnet oder das Produkt ist nicht der richtigen Berechtigung zugeordnet.
  • Der SAML-Benutzername wird nicht als E-Mail-Adresse übermittelt. Alle Benutzer müssen sich in der Domäne befinden, die Sie im Rahmen des Einrichtungsvorgangs beansprucht haben.
  • Ihr SSO-Client verwendet JavaScript im Rahmen des Anmeldevorgangs und Sie versuchen, sich bei einem Client anzumelden, der JavaScript nicht unterstützt (z. B. Creative Cloud Packager).

Fehlerbehebung:

  • Überprüfen Sie die Dashboard-Konfiguration für den Benutzer, d. h. Benutzerinformationen und Produktprofil.
  • Führen Sie eine SAML-Nachverfolgung aus und überprüfen Sie, ob die gesendeten Informationen mit dem Dashboard übereinstimmen. Korrigieren Sie dann etwaige Inkonsistenzen.

Fehler „Ein anderer Benutzer ist derzeit angemeldet“

Der Fehler „Ein anderer Benutzer ist derzeit angemeldet“ tritt auf, wenn die in der SAML-Zusicherung gesendeten Attribute nicht mit der E-Mail-Adresse übereinstimmen, die zum Starten des Anmeldevorgangs verwendet wurde.

Überprüfen Sie, ob die E-Mail-Adresse des Benutzers für die Anmeldung mit Folgendem übereinstimmt:

  • Der E-Mail-Adresse des Benutzers, die in der Admin Console aufgeführt ist
  • Dem Benutzernamen des Benutzers, der im Feld „NameID“ der SAML-Zusicherung zurückgegeben wird

Fehler „Aufruf als Systemprinzipal fehlgeschlagen“ oder „Benutzererstellung fehlgeschlagen“

Der Fehler „Aufruf als Systemprinzipal fehlgeschlagen“ (gefolgt von einem Zufallscode) oder „Benutzererstellung fehlgeschlagen“ weist auf ein Problem mit folgenden SAML-Attributen hin: FirstName, LastName und Email. Stellen Sie sicher, dass die Attributnamen korrekt sind (Groß- und Kleinschreibung beachten, Benennung usw.). Wenn das Attribut beispielsweise auf email statt auf Email endet, kann das zu diesen Fehlern führen.

Diese Fehler können auch auftreten, wenn die SAML-Zusicherung die Benutzer-E-Mail-Adresse im Element „Subject“ > „NameId“ nicht enthält (bei Verwendung des SAML Tracer muss das Format „emailAddress“ sein und die eigentliche E‑Mail als Text im Wert angegeben werden).  

Wenn Sie Unterstützung durch den Adobe-Support benötigen, senden Sie eine SAML-Nachverfolgung mit.

 

Fehler „Der Aussteller in der SAML-Antwort stimmte nicht mit dem für den Identitätsanbieter konfigurierten Aussteller überein“

Der IdP-Aussteller in der SAML-Zusicherung unterscheidet sich von der Konfiguration in der eingehenden SAML. Suchen Sie nach Tippfehlern (z. B. „http“ statt „https“). Wenn Sie die IdP-Ausstellerzeichenfolge mit dem Kunden-SAML-System überprüfen, ist eine GENAUE Übereinstimmung mit der von ihnen bereitgestellten Zeichenfolge erforderlich. Dieses Problem tritt manchmal auf, weil am Ende ein Schrägstrich fehlt.

Wenn Sie Hilfe zu diesem Fehler benötigen, geben Sie eine SAML-Nachverfolgung und die Werte an, die Sie im Adobe-Dashboard eingegeben haben.

Fehler „Die digitale Signatur in der SAML-Antwort wurde nicht mit dem Zertifikat des Identitätsanbieters überprüft“

Dieses Problem tritt auf, wenn das Zertifikat Ihres Verzeichnisses abgelaufen ist. Um das Zertifikat zu aktualisieren, müssen Sie das Zertifikat oder die Metadaten vom Identitätsanbieter herunterladen und in die Adobe Admin Console hochladen.

Führen Sie beispielsweise die folgenden Schritte aus, wenn Ihr IdP Microsoft AD FS ist:

  1. Öffnen Sie die AD FS-Verwaltungsanwendung auf Ihrem Server und wählen Sie im Ordner AD FS > Dienst > Endpunkte die Option Verbundmetadaten aus.

    Speicherort der Metadaten
  2. Verwenden Sie einen Browser, um zu der URL zu navigieren, die für Verbundmetadaten angegeben wurde, und laden Sie die Datei herunter. Beispiel: https://<Ihr AD FS-Hostname>/FederationMetadata/2007-06/FederationMetadata.xml.

    Hinweis:

    Akzeptieren Sie alle Warnungen, wenn Sie dazu aufgefordert werden.

  3. Melden Sie sich bei der Adobe Admin Console an und gehen Sie zu Einstellungen Identität > Verzeichnisse. Wählen Sie das zu aktualisierende Verzeichnis aus und klicken Sie auf der Karte SAML-Anbieter auf Konfigurieren.

    Laden Sie dann die IdP-Metadatendatei hoch und klicken Sie auf Speichern.

    Identitätsanbieter

Vorsicht:

Am 31. Oktober 2020 hat Adobe die Unterstützung veralteter SHA-1- und SHA-256-Pilotzertifikate für Verbundverzeichnisse in der Adobe Admin Console eingestellt. Für jedes Verzeichnis mit einem Warnsymbol ist eine Migration erforderlich.

Für die Umstellung auf ein neues Verzeichnis mit SHA-2-Zertifikat wählen Sie einfach das Verzeichnis aus, klicken Sie auf Bearbeiten und führen Sie den Migrationsvorgang aus.

Wenn Sie Ihre abgelaufene oder falsche Zertifikatdatei weiterhin aktualisieren möchten. Führen Sie die angegebenen Schritte aus, um ein aktualisiertes Zertifikat für Ihr SSO mit dem Microsoft AD FS-Verzeichnis erneut hochzuladen:

  1. Öffnen Sie die Microsoft AD FS-Verwaltungsanwendung auf Ihrem Server und wählen Sie im Ordner AD FS > Dienst > Zertifikate die Option Tokensignaturzertifikat aus.

    Hinweis:

    Das Tokensignaturzertifikat läuft am angegebenen Ablaufdatum ab. Verlängern Sie das Zertifikat, nachdem es abgelaufen ist, laden Sie es herunter und dann erneut in die Adobe Admin Console hoch.

  2. Um das Fenster mit den Zertifikateigenschaften zu öffnen, klicken Sie auf Zertifikat anzeigen

  3. Klicken Sie auf der Registerkarte Details auf In Datei kopieren und speichern Sie das Zertifikat mithilfe des Assistenten als „Base-64-codiert X.509 (.CER)“. Dieses Format entspricht einem Zertifikat im PEM-Format.

  4. Melden Sie sich bei der Adobe Admin Console an und gehen Sie zu Einstellungen > Identität > Verzeichnisse. Wählen Sie das Verzeichnis aus, das Sie aktualisieren möchten.

  5. Klicken bzw. tippen Sie auf der Karte des SAML-Anbieters auf Bearbeiten. Aktualisieren Sie die Informationen zum neuen Zertifikat im Fenster SAML-Konfiguration bearbeiten.

    SAML-Konfiguration bearbeiten

Die Zertifikatdatei ist höchstwahrscheinlich falsch und muss erneut hochgeladen werden. Dieses Problem tritt im Allgemeinen auf, nachdem eine Änderung vorgenommen wurde und der Administrator auf die falsche Zertifikatdatei verweist. Überprüfen Sie außerdem den Formattyp (für ADFS muss das PEM-Format verwendet werden).

Fehler „Die aktuelle Zeit liegt vor dem in den Zusicherungsbedingungen angegebenen Zeitraum“

Windows-basierter IdP-Server:

1. Stellen Sie sicher, dass die Systemuhr mit einem zuverlässigen Zeitserver synchronisiert ist.

Überprüfen Sie mit dem folgenden Befehl anhand Ihres Zeitservers die Uhrzeit auf Ihrem System. Der Wert für „Phasendifferenz“ sollte einen geringen Bruchteil einer Sekunde betragen:

w32tm /query /status /verbose

Mit dem folgenden Befehl können Sie eine sofortige Neusynchronisation der Systemuhr mit dem Zeitserver veranlassen:

w32tm /resync

Wenn die Systemuhr richtig eingestellt ist und der genannte Fehler weiterhin angezeigt wird, müssen Sie möglicherweise die Zeitversatzeinstellung anpassen, um die Toleranz für die Differenz zwischen den Uhren auf dem Server und dem Client zu erhöhen.

2. Erhöhen Sie die zulässige Abweichung der Systemuhr zwischen Servern

Legen Sie in einem PowerShell-Fenster mit Administratorrechten den zulässigen Versatzwert auf 2 Minuten fest. Überprüfen Sie, ob Sie sich anmelden können, und erhöhen oder verringern Sie den Wert je nach dem Ergebnis.

Bestimmen Sie mit dem folgenden Befehl die aktuelle Zeitversatzeinstellung für die entsprechende Vertrauensstellung der vertrauenden Seite:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Die Vertrauensstellung der vertrauenden Seite wird durch die URL angegeben, die im Feld „Bezeichner“ der Ausgabe des vorherigen Befehls für diese Konfiguration angezeigt wird. Diese URL wird auch im ADFS-Verwaltungsdienstprogramm im Eigenschaftenfenster für die entsprechende Vertrauensstellung der vertrauenden Seite auf der Registerkarte „Bezeichner“ im Feld „Vertrauensstellungen der vertrauenden Seite“ angezeigt (siehe Abbildung unten).

Legen Sie den Zeitversatz mit dem folgenden Befehl auf 2 Minuten fest, wobei Sie die Bezeichneradresse entsprechend ersetzen:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

relying_party_identifier

UNIX-basierter IdP-Server

Stellen Sie in einer Root-Shell oder mit sudo sicher, dass die Systemuhr entweder mithilfe des ntpd-Service oder manuell mit dem Befehl „ntpdate“ korrekt eingestellt ist, wie unten dargestellt. (Beachten Sie, dass die Änderung nicht sofort erfolgt, wenn der Zeitversatz mehr als 0,5 Sekunden beträgt, sondern die Systemuhr über einen gewissen Zeitraum korrigiert wird.) Vergewissern Sie sich außerdem, dass die Zeitzone richtig festgelegt ist.

# ntpdate -u pool.ntp.org

Hinweis:

Dies funktioniert mit Identitätsanbietern wie Shibboleth.

Der in der SubjectConfirmation angegebene Empfänger stimmte nicht mit der Entity ID unseres Service-Anbieters überein

Überprüfen Sie die Attribute, da deren Schreibung genau wie folgt lauten muss: FirstName, LastName, Email. Diese Fehlermeldung kann darauf hinweisen, dass eines der Attribute falsch geschrieben ist, z. B. „email“ anstelle von „Email“. Überprüfen Sie auch den Empfängerwert. Dieser sollte auf die ACS-Zeichenfolge verweisen.

ACS-Zeichenfolge

Fehler 401 Nicht autorisierte Anmeldeinformationen

Dieser Fehler tritt auf, wenn die Anwendung die Federated-Anmeldung nicht unterstützt und eine Anmeldung mit Adobe ID erforderlich ist. FrameMaker, RoboHelp und Captivate sind Beispiele für Anwendungen mit dieser Anforderung.

Fehler „Eingehende SAML-Anmeldung fehlgeschlagen mit der Meldung: Die SAML-Antwort enthielt keine Zusicherungen“

Überprüfen Sie den Anmelde-Workflow.  Wenn Sie auf die Anmeldeseite eines anderen Computers oder Netzwerks, jedoch nicht auf die interne Anmeldeseite zugreifen können, ist das Problem möglicherweise eine Block-Agent-Zeichenfolge. Führen Sie außerdem eine SAML-Nachverfolgung aus und vergewissern Sie sich, dass Vorname, Nachname und Benutzername als ordnungsgemäß formatierte E-Mail-Adresse im SAML-Betreff vorhanden sind.

Fehler 400 Ungültige Anforderung/Fehler „Der Status der SAML-Anforderung war nicht erfolgreich“/Überprüfung der SAML-Zertifizierung fehlgeschlagen

Vergewissern Sie sich, dass die korrekte SAML-Zusicherung gesendet wird:

  • Überprüfen Sie, ob der Identitätsanbieter die folgenden Attribute (unter Beachtung der Groß-/Kleinschreibung) in der SAML-Zusicherung übergibt: FirstName, LastName, Email. Wenn im IdP das Senden dieser Attribute als Teil der Konfiguration des SAML 2.0-Connector nicht festgelegt ist, funktioniert die Authentifizierung nicht.
  • Kein NameID-Element im Betreff. Überprüfen Sie, ob das Subject-Element ein NameId-Element enthält. Es muss dem Email-Attribut entsprechen, bei dem es sich um die E-Mail-Adresse des Benutzers handeln sollte, den Sie authentifizieren möchten.
  • Tippfehler, insbesondere solche, die leicht übersehen werden, wie „https“ statt „http“.
  • Überprüfen Sie, ob das richtige Zertifikat bereitgestellt wurde. IdPs müssen so konfiguriert sein, dass sie nicht komprimierte SAML-Anforderungen/-Antworten verwenden.

Ein Dienstprogramm wie SAML Tracer für Firefox kann dabei helfen, die Zusicherung zu entpacken und zur Überprüfung anzuzeigen. Wenn Sie Unterstützung vom Adobe-Support benötigen, wird diese Datei verlangt. Einzelheiten finden Sie unter Wie führe ich eine SAML-Nachverfolgung durch?

Das folgende funktionsfähige Beispiel kann bei der korrekten Formatierung Ihrer SAML-Zusicherung hilfreich sein:

Herunterladen

Für Microsoft ADFS:

  1. Für jedes Active Directory-Konto muss eine E-Mail-Adresse in Active Directory eingetragen sein, damit Sie sich erfolgreich anmelden können (Ereignisprotokoll: Die SAML-Antwort enthält keine NameId in der Zusicherung). Überprüfen Sie dies zuerst.
  2. Greifen Sie auf das Dashboard zu. 
  3. Klicken Sie auf die Registerkarte „Identität“ und die Domäne.
  4. Klicken Sie auf „Konfiguration bearbeiten“.
  5. Suchen Sie nach der IdP-Bindung. Wechseln Sie zu HTTP-POST und speichern Sie die Änderung. 
  6. Testen Sie den Anmelde-Workflow erneut.
  7. Wenn er funktioniert, Sie jedoch die vorherige Einstellung bevorzugen, wechseln Sie einfach zurück zu HTTP-REDIRECT und laden Sie die Metadaten erneut in ADFS hoch.

Für andere IdPs:

  1. Wenn der Fehler 400 auftritt, wurde eine erfolgreiche Anmeldung von Ihrem IdP abgelehnt.
  2. Suchen Sie in Ihren IdP-Protokollen nach der Ursache des Fehlers.
  3. Beheben Sie das Problem und versuchen Sie es erneut.