Übersicht

Beim Versuch, sich mit einer Federated ID (SSO) bei Adobe-Produkten, -Diensten oder mobilen Apps anzumelden, wird eine der folgenden Fehlermeldungen angezeigt.

Nachdem Sie SSO innerhalb der Adobe Admin Console, erfolgreich konfiguriert haben, stellen Sie sicher, dass Sie auf Metadaten herunterladen geklickt und die SAML-XML-Metadatendatei auf Ihrem Computer gespeichert haben. Ihr Identity Provider benötigt diese Datei, um Single Sign On (SSO) zu aktivieren. Sie müssen die XML-Konfigurationsdetails richtig in Ihren Identity Provider (IdP) importieren. Dies ist für die SAML-Integration mit Ihrem IdP erforderlich und stellt sicher, dass die Daten richtig konfiguriert sind.

Im Folgenden finden Sie einige häufige Konfigurationsprobleme:

  • Zertifikat liegt in einem Format neben PEM vor.
  • Zertifikat verfügt über eine Erweiterung neben .cer. .pem und .cert funktionieren nicht.
  • Zertifikat ist verschlüsselt.
  • Das Zertifikat liegt in einem einzeiligen Format vor. Multiline ist erforderlich.
  • Die Überprüfung der Zertifikatswiderrufung ist aktiviert (dies wird derzeit nicht unterstützt).
  • IdP-Aussteller in SAML ist nicht genau der gleiche wie in der Admin-Konsole angegeben wurde (z. B. Rechtschreibfehler, fehlendes Zeichen, https vs http).

Wenn Sie Fragen zur Konfiguration Ihres IdP mithilfe der SAML-XML-Metadatendatei haben, wenden Sie sich zwecks Anweisungen, die von IdP zu IdP unterschiedlich sind, direkt an Ihren IdP.

Einige Beispiele für bestimmte IdPs (keine vollständige Liste, jeder SAML 2-konforme IdP funktioniert):

Okta: Nehmen Sie die erforderlichen Informationen in der XML-Datei und geben Sie sie in die entsprechenden Felder der Benutzeroberfläche (UI) ein, um die Daten ordnungsgemäß zu konfigurieren.

Ping Federate: Laden Sie die XML-Datei hoch oder geben Sie die Daten ordnungsgemäß in die Felder der Benutzeroberfläche ein.

Microsoft ADFS: Ihr Zertifikat muss im PEM-Format vorliegen; jedoch ist DER das Standardformat für ADFS. Sie können das Zertifikat mit dem unter OS X, Windows oder Linux verfügbaren Befehl „openssl“ konvertieren:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Benennen Sie nach der Durchführung der oben genannten Schritte das Zertifikat .cer um.

Stellen Sie auch sicher, dass das richtige Zertifikat verwendet wird, wenn Sie mehr als eins haben. Es muss mit jenem identisch sein, das für die Signatur der Anforderungen verwendet wird. (Beispiel: Wenn das „Token-Signatur“-Zertifikat für die Signatur der Anforderungen verwendet wird, handelt es sich um das zu verwendende Zertifikat.) Die Überprüfung der Zertifikatswiderrufung muss deaktiviert sein.

Wenn Sie Ihren IdP nach bestem Wissen konfiguriert haben, probieren Sie je nach erhaltenem Fehler eine der folgenden Optionen aus.

Link zum Herunterladen von Metadaten

Grundlagen zur Fehlerbehebung

Probleme mit Single Sign-On (SSO) werden oft durch sehr einfache Fehler verursacht, die leicht übersehen werden. Prüfen Sie insbesondere Folgendes:

  • Der Benutzer wird einer Produktkonfiguration mit einer Berechtigung zugewiesen.
  • Der Vor-, Nachname und die E-Mail-Adresse des Benutzers werden in SAML gesendet, und zwar genau so wie sie im Enterprise Dashboard angezeigt werden und in SAML mit der richtigen Beschriftung vorhanden sind.
  • Prüfen Sie alle Einträge in der Admin Console und in Ihrem Identity Provider auf Rechtschreib- oder Syntaxfehler.
  • Die Creative Cloud-Desktop-Applikation wurde auf die neueste Version aktualisiert.
  • Der Benutzer meldet sich an der richtigen Stelle an (CC-Desktop-App, CC-Applikation oder adobe.com).

Der Fehler „Ein Fehler ist aufgetreten“, wobei die Schaltfläche mit „Versuchen Sie es erneut“ beschriftet ist

Ein Fehler ist aufgetreten - VERSUCHEN SIE ES ERNEUT

Dieser Fehler tritt normalerweise auf, wenn die Benutzerauthentifizierung erfolgreich war und Okta die Authentifizierungsantwort erfolgreich an Adobe weitergeleitet hat.

Überprüfen Sie in der Adobe Admin-Konsole Sie Folgendes:

Auf der Registerkarte „Identität“:

  • Stellen Sie sicher, dass die zugeordnete Domäne aktiviert wurde.

Auf der Registerkarte „Produkte“:

  • Stellen Sie sicher, dass der Benutzer dem richtigen Produktkurznamen zugeordnet ist, und innerhalb der von Ihnen beanspruchten Domäne als Federated ID konfiguriert werden soll.
  • Stellen Sie sicher, dass dem Produktkurznamen die richtige(n) Berechtigung(en) zugeordnet ist (sind).

Auf der Registerkarte „Benutzer“:

  • Stellen Sie sicher, dass der Benutzername des Benutzers in der Form einer vollständigen E-Mail-Adresse vorliegt.

Fehler „Zugriff verweigert“ beim Anmelden

Fehler „Zugriff verweigert“

Mögliche Ursachen für diesen Fehler:

  • Der Vor-, Nachname oder die E-Mail-Adresse, der/die in der SAML-Assertion gesendet wird, stimmt nicht mit den in der Admin Console eingegebenen Informationen überein.
  • Der Benutzer ist nicht dem richtigen Produkt zugeordnet oder das Produkt ist nicht der richtigen Berechtigung zugeordnet.
  • Der SAML-Benutzername ist etwas anderes als eine E-Mail-Adresse. Alle Benutzer müssen in der Domäne sein, die Sie als Teil des Setup-Vorgangs beansprucht haben.
  • Ihr SSO-Client verwendet JavaScript als Teil des Anmeldeprozesses und Sie versuchen, sich bei einem Client anzumelden, der Javascript nicht unterstützt (z. B. Creative Cloud Packager).

Lösungsmöglichkeiten:

  • Überprüfen Sie die Dashboard-Konfiguration für den Benutzer - Benutzerinformationen und Produktkonfiguration.
  • Führen Sie einen SAML-Trace aus und überprüfen Sie, ob die gesendeten Informationen mit dem Dashboard übereinstimmen, und korrigieren Sie sämtliche Inkonsistenzen.

Fehler „ein anderer Benutzer ist zurzeit angemeldet“

Der Fehler „ein anderer Benutzer ist zurzeit angemeldet“ tritt auf, wenn die in der SAML-Assertion gesendeten Attribute nicht mit der E-Mail-Adresse übereinstimmen, die zum Starten des Anmeldevorgangs verwendet wurde.

Überprüfen Sie die Attribute in der SAML-Assertion und stellen Sie sicher, dass sie genau mit der ID, die der Benutzer zu verwenden versucht, und auch mit der Admin Console genau übereinstimmen.

Der Fehler „Anruf als Systemprinzip fehlgeschlagen“ oder „Benutzererstellung fehlgeschlagen“

Der Fehler „Anruf als Systemprinzip fehlgeschlagen“ (gefolgt von einem zufälligen Code) oder „Benutzererstellung fehlgeschlagen“ weist auf ein Problem mit den SAML-Attributen hin.Vergewissern Sie sich, dass die Schreibweise der Attributnamen richtig ist (Groß-/Kleinschreibung beachten, Benennung usw.) - FirstName, LastName, Email. Beispiel: Endet das Attribut als „email“ statt „Email“, kann es zu diesen Fehlern führen.

Diese Fehler können auch auftreten, wenn die SAML-Assertion nicht die E-Mail-Adresse des Benutzers im Element „Betreff > NameId“ enthält (wenn mit SAML-Tracer gesucht wird, sollte er format:emailAddress und die eigentliche E-Mail als Text als Wert aufweisen).  

Wenn Sie Hilfe vom Adobe-Support benötigen, schließen Sie einen SAML-Trace ein.

 

Fehler „The Issuer in the SAML response did not match the Issuer configured for the Identity Provider“ (Der Aussteller in der SAML-Antwort stimmte nicht mit dem für den Identity Provider konfigurierten Aussteller überein)

Der IDP-Aussteller in der SAML-Assertion unterscheidet sich von dem, was in der eingehenden SAML konfiguriert wurde. Suchen Sie nach Rechtschreibfehlern (z. B. http vs https). Wenn der IDP-Aussteller-String mit dem SAML-System geprüft wird, suchen wir nach einer EXAKTEN Übereinstimmung mit dem angegebenen String. Dieses Problem tritt auf, weil ein Schrägstrich am Ende fehlt.

Wenn Sie Hilfe zu diesem Fehler benötigen, geben Sie einen SAML-Trace und Werte an, die Sie im Adobe-Dashboard eingegeben haben.

Fehler „The digital signature in the SAML response did not validate with the Identity Providers certificate“ (Die digitale Signatur in der SAML-Antwort wurde nicht mit dem Identity Provider-Zertifikat validiert)

Wahrscheinlich ist die Zertifikatdatei fehlerhaft und muss erneut hochgeladen werden. Dies tritt im Allgemeinen auf, nachdem eine Änderung vorgenommen wurde und der Administrator auf die falsche CERT-Datei verweist.Überprüfen Sie auch den Formattyp (muss PEM-Format für ADFS sein.)

Fehler „The current time is before the time-range specified in the Assertion Conditions“ (Die aktuelle Zeit liegt vor dem in den Assertion-Bedingungen angegebenen Zeitraum)

Windows:

Korrigieren Sie entweder die Systemzeit oder passen Sie die Zeitabweichung an.

Festlegen der Systemzeit:

Überprüfen Sie die Einstellungen der Systemuhr mit diesem Befehl

w32tm /query /status

Sie können die Systemuhr auf Windows Server mit dem folgenden Befehl korrigieren:

w32tm /resync

Wenn die Systemzeit richtig eingestellt ist, müssen Sie möglicherweise die Toleranz für einen Unterschied zwischen der IdP und dem System, was es authentifiziert

Zeitabweichung

Legen Sie zunächst den zulässigen Wert für die Zeitabweichung auf 2 Minuten fest. Stellen Sie sicher, dass Sie eine Verbindung herstellen können und erhöhen oder vermindern Sie dann den Wert, je nach Ergebnis. Hier finden Sie alle Informationen zur Microsoft-Wissensdatenbank

Zusammenfassend lässt sich sagen, dass Sie vom Powershell folgende Befehle ausführe können:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Um zu sehen, wie die ursprünglichen Werte waren
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Zeitabweichung auf 2 Minuten festlegen

wobei „urn:party:sso“ einer der Bezeichner für vertrauende Seite ist

Hinweis: Sie können Get-ADFSRelyingPartyTrust cmdlet ohne Parameter verwenden, um alle Vertrauensstellungsobjekte der vertrauenden Seiten aufzurufen.

UNIX-basierte Systeme:

Achten Sie darauf, dass die Systemuhr korrekt eingestellt ist, beispielsweise mit dem folgenden Befehl:

ntpdate -u pool.ntp.org

Der in der SubjectConfirmation angegebene Empfänger stimmt nicht mit unserer Service Provider-Entitäts-ID überein

Prüfen Sie die Attribute, da sie mit der folgenden Schreibweise exakt übereinstimmen müssen - FirstName, LastName, Email. Diese Fehlermeldung kann bedeuten, dass eines der Attribute die falsche Schreibweise aufweist - wie „email“ statt „Email“. Prüfen Sie auch den Empfänger-Wert, da er auf den ACS-String verweisen soll.

ACS-String

Fehler 401 - Nicht autorisierte Berechtigungen

Dieser Fehler tritt auf, wenn die Anwendung keine Federated-Anmeldung unterstützt und als Adobe ID angemeldet werden muss. Framemaker, Robohelp und Captivate sind Beispiele für Anwendungen mit diesen Anforderungen.

Fehler „Inbound SAML login failed with message: The SAML response contained no assertions“ (Eingehende SAML-Anmeldung mit folgender Meldung fehlgeschlagen: Die SAML-Antwort enthielt keine Assertions.)

Überprüfen Sie den Anmeldungsablauf.  Wenn auf die Anmeldeseite auf einem anderen Computer oder im Netzwerk, nicht jedoch intern zugegriffen werden kann, könnte es sich um einen Block-Agent-String handeln.  Führen Sie einen SAML-Trace aus und bestätigen Sie, dass sich Vor-, Nachname und Benutzername als richtig formatierte E-Mail-Adresse im SAML-Betreff befinden.

Fehler 400 - Ungültige Anforderung/Fehler „The Status of the SAML Request was Not Success“ (Der Status der SAML-Anforderung war nicht erfolgreich)/Überprüfung der SAML-Zertifizierung fehlgeschlagen

Fehler 400 - Ungültige Anforderung

Überprüfen Sie, ob die richtige SAML-Assertion gesendet wird:

  • Überprüfen Sie, ob der Identity Provider die folgenden Attribute (Groß-/Kleinschreibung) in der SAML-Assertion übergibt: FirstName, LastName, Email. Wenn diese Attribute nicht im IDP konfiguriert sind, um als Teil der SAML 2.0 Connector-Konfiguration gesendet zu werden, funktioniert die Authentifizierung nicht.
  • Kein NameID-Element im Betreff. Überprüfen Sie, ob das Betreff-Element ein NameId-Element enthält. Es muss gleich dem Email-Attribut sein. Dabei sollte es sich um die E-Mail-Adresse des Benutzers handeln, den Sie authentifizieren möchten.
  • Schreibfehler, insbesondere einfach zu übersehende wie https vs http.
  • Überprüfen Sie, ob das richtige Zertifikat angegeben wurde. IDPs müssen so konfiguriert werden, dass unkomprimierte SAML-Anforderungen/Antworten verwendet werden. Das eingehende Okta-SAML-Protokoll funktioniert nur bei nicht komprimierten Einstellungen (nicht komprimierten Einstellungen).

Ein Dienstprogramm wie SAML-Tracer für Firefox kann beim Entpacken der Assertion helfen und sie zur Überprüfung anzeigen. Wenn Sie Hilfe vom Adobe-Support benötigen, werden Sie nach dieser Date gefragt. 

Das praktische Beispiel unten trägt möglicherweise zur richtigen Formatierung Ihrer SAML-Assertion bei:

Herunterladen

mit Microsoft ADFS:

  1. Jedes Active Directory-Konto muss zur erfolgreichen Anmeldung über eine in Active Directory aufgeführte E-Mail-Adresse verfügen (Ereignisprotokoll: Die SAML-Antwort hat keine NameId in der Assertion). Überprüfen Sie diese zuerst.
  2. Rufen Sie das Dashboard auf. 
  3. Klicken Sie auf die Registerkarte „Identität“ und die Domäne.
  4.  Klicken Sie auf „Konfiguration bearbeiten“ 
  5. IDP-Bindung suchen Wechseln Sie zu HTTP POST und speichern Sie. 
  6. Testen Sie die Anmeldungserfahrung neu.
  7. Wenn es funktioniert und Sie die vorherige Einstellung dennoch vorziehen, wechseln Sie wieder zu HTTP-REDIRECT und laden Sie die Metadaten erneut in ADFS hoch.

Mit anderen IdPs:

  1. Das Auftreten des Fehlers 400 bedeutet, dass eine erfolgreiche Anmeldung durch Ihren IdP zurückgewiesen wurde.
  2. Überprüfen Sie Ihre IdP-Protokolle auf Fehlerquellen.
  3. Beheben Sie das Problem und versuchen Sie es erneut.

Konfiguration von Microsoft ADFS

Informationen dazu finden Sie in der schrittweisen Anleitung zur Konfiguration von Microsoft ADFS.

Wenn ein Mac-Client ein leeres Fenster in Creative Cloud anzeigt, vergewissern Sie sich, ob der Benutzeragent von Creative Cloud vertrauenswürdig ist.

Konfiguration von Microsoft Azure

Informationen dazu finden Sie in der schrittweisen Anleitung zur Konfiguration von Microsoft Azure.

Konfiguration von OneLogin

Informationen dazu finden Sie in der schrittweisen Anleitung zur Konfiguration von OneLogin.

Konfiguration von Okta

Informationen dazu finden Sie in der schrittweisen Anleitung zur Konfiguration von Okta.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie