Open de applicatie Beheer van AD FS op de server en selecteer Federatieve metagegevens in de map AD FS > Service > Eindpunten.
- Adobe voor ondernemingen en teams: Beheerdershandleiding
- Uw distributie plannen
- Basisconcepten
- Distributiehandleidingen
- Creative Cloud voor het onderwijs distribueren
- Startpagina distributie
- Onboarding-wizard voor basis- en voortgezet onderwijs
- Eenvoudige installatie
- Gebruikers synchroniseren
- Lijstsynchronisatie voor basis- en voortgezet onderwijs (VS)
- Belangrijkste licentieconcepten
- Distributieopties
- Snelle tips
- Adobe-apps goedkeuren in de Google-beheerdersconsole
- Adobe Express inschakelen in Google Classroom
- Integratie met Canvas LMS
- Integratie met Blackboard Learn
- SSO configureren voor schoolportals en LMS'en
- Gebruikers toevoegen via roostersynchronisatie
- Veelgestelde vragen over Kivuto
- Geschiktheidsrichtlijnen voor instellingen voor basis- en voortgezet onderwijs
- Uw organisatie instellen
- Identiteitstypen | Overzicht
- Identiteit instellen | Overzicht
- Een organisatie instellen met Enterprise ID's
- Azure AD-federatie en synchronisatie instellen
- Google-federatie en -synchronisatie instellen
- Een organisatie instellen met Microsoft ADFS
- Een organisatie instellen voor schoolportals en LMS'en
- Een organisatie instellen met andere identiteitsproviders
- Veelgestelde vragen over en problemen oplossen met SSO
- De configuratie van uw organisatie beheren
- Bestaande domeinen en directory's beheren
- Automatisch accounts maken inschakelen
- Een organisatie instellen via vertrouwde directory's
- Migreren naar een nieuwe verificatieprovider
- Instellingen voor assets
- Verificatie-instellingen
- Contactpersonen voor privacy en beveiliging
- Console-instellingen
- Versleuteling beheren
- Bestaande domeinen en directory's beheren
- Gebruikers beheren
- Overzicht
- Beheerdersrollen
- Strategieën voor gebruikersbeheer
- Licenties toewijzen aan een teamgebruiker
- Gebruikers met overeenkomende e-maildomeinen toevoegen
- Identiteitstype van een gebruiker wijzigen
- Gebruikersgroepen beheren
- Directorygebruikers beheren
- Ontwikkelaars beheren
- Bestaande gebruikers migreren naar de Adobe Admin Console
- Gebruikersbeheer migreren naar de Adobe Admin Console
- Overzicht
- Producten en rechten beheren
- Producten en productprofielen beheren
- Producten beheren
- Producten en licenties kopen
- Productprofielen voor ondernemingsgebruikers beheren
- Regels voor automatische toewijzing beheren
- Gebruikers het recht geven om aangepaste Firefly-modellen te trainen
- Productverzoeken beoordelen
- Beleid voor selfservice beheren
- App-integraties beheren
- Productmachtigingen beheren in de Admin Console
- Services voor een productprofiel in- of uitschakelen
- Losse apps | Creative Cloud voor ondernemingen
- Optionele services
- Licenties voor gedeelde apparaten beheren
- Producten en productprofielen beheren
- Aan de slag met Global Admin Console
- De Global Admin Console gaan gebruiken
- Uw organisatie selecteren
- De organisatiehiërarchie beheren
- Productprofielen beheren
- Beheerders beheren
- Gebruikersgroepen beheren
- Organisatiebeleid bijwerken
- Beleidssjablonen beheren
- Producten toewijzen aan onderliggende organisaties
- Klaarstaande taken doorvoeren
- Inzichten verkennen
- Organisatiestructuur exporteren of importeren
- Opslag en assets beheren
- Opslag
- Assets migreren
- Assets van een gebruiker terughalen
- Migratie van studentassets | Alleen onderwijs
- Services beheren
- Adobe Stock
- Eigen lettertypen
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud voor ondernemingen - gratis lidmaatschap
- Apps en updates distribueren
- Overzicht
- Pakketten maken
- Pakketten aanpassen
- Pakketten distribueren
- Pakketten distribueren
- Adobe-pakketten distribueren met Microsoft Intune
- Adobe-pakketten distribueren met SCCM
- Adobe-pakketten distribueren met ARD
- Producten in de map Exceptions installeren
- Creative Cloud-producten verwijderen
- Adobe Provisioning Toolkit Enterprise Edition gebruiken
- Licentie-id's voor Adobe Creative Cloud
- Pakketten distribueren
- Updates beheren
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Problemen oplossen
- Je teamaccount beheren
- Verlengingen
- Contracten beheren
- Rapporten en logbestanden
- Hulp krijgen
Los veelvoorkomende authenticatiefouten op, verifieer configuraties en corrigeer inlogproblemen met betrekking tot Federated ID (SSO) in Adobe-producten. Ontvang tips om SAML-fouten, certificaatproblemen en andere authenticatieproblemen op te lossen.
Raadpleeg de volgende artikelen als je organisatie SSO heeft ingesteld via Google Federation of Microsoft Azure Sync:
Overzicht
Nadat je SSO hebt geconfigureerd in Adobe Admin Console, selecteer je Metagegevensbestand van Adobe downloaden en sla je het SAML-XML-metagegevensbestand op je computer op. Je identiteitsprovider heeft dit bestand nodig om eenmalige aanmelding mogelijk te maken. Importeer de XML-configuratiegegevens correct in je identiteitsprovider (IdP). Dit is vereist voor SAML-integratie met je IdP en zorgt dat de gegevens goed worden geconfigureerd.
Als je vragen hebt over het gebruik van het SAML-XML-metagegevensbestand om je IdP te configureren, neem dan rechtstreeks contact op met je IdP voor instructies, die per IdP verschillen.
Eenvoudige probleemoplossing
Problemen met eenmalige aanmelding worden vaak veroorzaakt door basale fouten die gemakkelijk over het hoofd worden gezien. Controleer in het bijzonder het volgende:
- De gebruiker is toegewezen aan een productprofiel met een gebruiksrecht.
- De gebruikersnaam die naar SAML wordt verzonden, komt overeen met de gebruikersnaam in het ondernemingsdashboard.
- Controleer alle vermeldingen in de Admin Console en bij je identiteitsprovider op spel- of syntaxisfouten.
- De Creative Cloud desktop-app is bijgewerkt naar de nieuwste versie.
- De gebruiker meldt zich aan op de juiste plek (Creative Cloud desktop-app, een Creative Cloud-applicatie of Adobe.com)
Oplossingen voor andere veel voorkomende fouten
Fout: 'Er is een fout opgetreden' met de knop 'Opnieuw proberen'
Deze fout treedt meestal op nadat de gebruikersverificatie is gelukt en Okta de verificatierespons heeft doorgestuurd naar Adobe.
Controleer het volgende in de Adobe Admin Console:
Op het tabblad Identiteit:
- Zorg ervoor dat het bijbehorende domein is geactiveerd.
Op het tabblad Producten:
- Zorg ervoor dat de gebruiker is gekoppeld aan de juiste bijnaam van het product en aan het geclaimde domein is gekoppeld als Federated ID.
- Zorg ervoor dat de juiste rechten zijn toegewezen aan de bijnaam van het product.
Op het tabblad Gebruikers:
- Zorg ervoor dat de gebruikersnaam van de gebruiker de vorm heeft van een volledig e-mailadres.
Fout: 'Toegang geweigerd' tijdens het aanmelden
Mogelijke oorzaken van deze fout:
- De gebruikersnaam die of het e-mailadres dat wordt verzonden in de SAML-bevestiging, komt niet overeen met de gegevens die zijn ingevoerd in de Admin Console.
- De gebruiker is niet aan het juiste product gekoppeld of het product is niet aan het juiste recht gekoppeld.
- De SAML-gebruikersnaam is geen e-mailadres. Alle gebruikers moeten zich bevinden in het domein dat je tijdens de configuratie hebt geclaimd.
- Je SSO-client gebruikt JavaScript als onderdeel van het aanmeldingsproces en je probeert je aan te melden bij een client die geen JavaScript ondersteunt.
Hoe je dit kunt oplossen:
- Controleer de gebruikersnaam en het e-mailadres in de Adobe Admin Console en stem de waarde af met het NameID- en Email-kenmerk in de SAML-logboeken.
- Controleer de dashboardconfiguratie voor de gebruiker: gebruikersgegevens en productprofiel.
- Voer een SAML-trace uit en controleer of de gegevens die worden verzonden overeenkomen met het dashboard. Corrigeer vervolgens eventuele inconsistenties.
Fout: 'Er is al een andere gebruiker aangemeld'
De fout 'Er is al een andere gebruiker aangemeld' treedt op wanneer de kenmerken die in de SAML-bevestiging worden verzonden, niet overeenkomen met het e-mailadres dat is gebruikt om het inlogproces te starten.
Voer een SAML trace uit en zorg ervoor dat het e-mailadres van de gebruiker voor aanmelding overeenkomt met het volgende:
- Het e-mailadres van de gebruiker in de Admin Console
- De gebruikersnaam van de gebruiker die wordt doorgegeven aan het veld NameID van de SAML-bevestiging
Fout: 'De uitgever in het SAML-antwoord komt niet overeen met de uitgever die is geconfigureerd voor de identiteitsprovider'
De IdP-uitgever in de SAML-bevestiging verschilt van wat is geconfigureerd in de inkomende SAML. Let op typfouten (zoals http versus https). Wanneer je de tekenreeks voor de IdP-uitgever controleert in het SAML-systeem van de klant, zoek je naar een EXACTE overeenkomst met de opgegeven tekenreeks. Dit probleem doet zich soms voor omdat er aan het einde een schuine streep ontbreekt.
Als je hulp nodig hebt bij deze fout, verstrek je een SAML-trace en de waarden die je in het Adobe-dashboard hebt ingevoerd.
Fout: 'De digitale handtekening in het SAML-antwoord is niet gevalideerd met het certificaat van de identiteitsprovider'
Dit probleem treedt op wanneer het certificaat van je directory is verlopen. Als je het certificaat wilt bijwerken, moet je het certificaat of de metagegevens downloaden van de identiteitsprovider en deze uploaden naar de Adobe Admin Console.
Volg bijvoorbeeld de onderstaande stappen als je IdP Microsoft AD FS is:
-
-
Navigeer in een browser naar de URL die is opgegeven voor Federatieve metagegevens en download het bestand. Bijvoorbeeld https://<je AD FS-hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml.
Opmerking:Accepteer eventuele waarschuwingen die worden weergegeven.
-
Ga op het tabblad Instellingen van de Admin Console naar Identiteitsinstellingen > Directory's. Selecteer de directory die je wilt bijwerken en klik op Configureren op de kaart SAML-provider.
Upload vervolgens het IdP-metagegevensbestand en kies Opslaan.
Fout: 'De huidige tijd ligt vóór het tijdsbereik dat is opgegeven in de voorwaarden van de bevestiging'
Op Windows gebaseerde IdP-server:
1. Zorg ervoor dat de systeemklok is gesynchroniseerd met een accurate tijdserver.
Controleer de nauwkeurigheid van de systeemklok met de tijdserver met de volgende opdracht, waarbij de waarde 'Phase Offset' een fractie van een seconde moet zijn:
w32tm /query /status /verbose
Met de volgende opdracht kun je een directe synchronisatie van de systeemklok met de tijdserver uitvoeren:
w32tm /resync
Als de systeemklok correct is ingesteld en je nog steeds de bovenstaande fout ziet, moet je mogelijk de instelling voor tijdverschil aanpassen om de tolerantie voor het verschil tussen de klokken van de server en de client te vergroten.
2. Vergroot het toegestane verschil in de systeemklok tussen de servers.
Stel vanuit een Powershell-venster met beheerdersrechten de toegestane waarde voor het verschil in op 2 minuten. Controleer of je je kunt aanmelden en verhoog of verlaag de waarde, afhankelijk van het resultaat.
Bepaal de huidige instelling voor tijdverschil voor de relevante vertrouwensrelatie van de relying party met de volgende opdracht:
Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew
De vertrouwensrelatie van de relying party wordt aangegeven door de URL in het veld 'Identifier' van de uitvoer van de vorige opdracht voor die specifieke configuratie. Deze URL wordt ook weergegeven in het hulpprogramma Beheer van AD FS, in het veld 'Vertrouwensrelaties van relying party' op het tabblad 'Id's' in het eigenschappenvenster voor de desbetreffende vertrouwensrelatie van de relying party, zoals weergegeven in de onderstaande schermafbeelding.
Gebruik de volgende opdracht om het tijdverschil in te stellen op 2 minuten, waarbij je het het adres bij Identifier dienovereenkomstig aanpast:
Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2
Op UNIX gebaseerde IdP-server
Zorg ervoor dat de systeemklok correct is ingesteld met behulp van de ntpd-service of handmatig met de opdracht ntpdate vanuit een rootshell of met sudo, zoals hieronder wordt weergegeven. (Merk op dat als de tijd meer dan een 0,5 seconde wordt verschoven, de wijziging niet direct plaatsvindt, maar de systeemklok langzaam wordt gecorrigeerd.) Controleer of de tijdzone ook correct is ingesteld.
# ntpdate -u pool.ntp.org
Dit werkt met identiteitsproviders zoals Shibboleth.
Fout: 401 ongeautoriseerde referenties
Deze fout treedt op wanneer de applicatie geen federatieve login ondersteunt en de gebruiker moet zijn aangemeld met een Adobe ID. FrameMaker, RoboHelp en Adobe Captivate zijn voorbeelden van applicaties met deze vereiste.
Fout: 'Inkomende SAML-login mislukt met bericht: De SAML-reactie bevat geen bevestigingen'
Controleer de aanmeldingsworkflow. Als je toegang hebt tot de aanmeldingspagina op een andere computer of in een ander netwerk, maar niet intern, kan een agenttekenreeks de toegang mogelijk blokkeren. Voer een SAML-trace uit en controleer of het SAML-onderwerp de voornaam, achternaam en gebruikersnaam als een correct ingedeeld e-mailadres bevat.
Controleer of de juiste SAML-bevestiging wordt verzonden:
- Het onderwerp bevat het element NameID niet. Controleer of het element Subject het element NameId bevat. Dit moet gelijk zijn aan het kenmerk Email, dat het e-mailadres moet zijn van de gebruiker die je wilt verifiëren.
- Spelfouten, met name fouten die gemakkelijk over het hoofd worden gezien, zoals https vs http.
- Controleer of het juiste certificaat is verstrekt. IdP's moeten worden geconfigureerd om niet-gecomprimeerde SAML-verzoeken/-antwoorden te gebruiken.
Met een hulpprogramma zoals SAML Tracer voor Firefox kan de bevestiging worden uitgepakt en ter controle worden weergegeven. Als je hulp nodig hebt van de klantenservice van Adobe, word je om dit bestand gevraagd. Zie Een SAML-trace uitvoeren voor meer informatie.
Het volgende voorbeeld kan je helpen bij een correcte indeling van de SAML-bevestiging:
Downloaden
Met Microsoft ADFS:
- Elk Active Directory-account moet een e-mailadres hebben dat in Active Directory staat vermeld om zich te kunnen aanmelden (gebeurtenislogbestand: Het SAML-antwoord heeft geen NameId in de bevestiging). Controleer dit eerst.
- Ga naar het dashboard.
- Klik op het tabblad Identiteit en op het domein.
- Klik op Configuratie bewerken.
- Zoek IdP-binding. Schakel over naar HTTP-POST en sla op.
- Test het aanmelden opnieuw.
- Als het werkt, maar je de voorkeur geeft aan de eerdere instelling, schakel je eenvoudig terug naar HTTP-REDIRECT en upload je de metagegevens opnieuw naar ADFS.
Met andere IdP's:
- Als je fout 400 ondervindt, betekent dit dat een succesvolle aanmelding is geweigerd door je IdP.
- Controleer de logbestanden van je IdP voor de oorzaak van de fout.
- Verhelp het probleem en probeer het opnieuw.
Fout: '403 defect certificaat'
Werk het certificaat bij in Google Console onder de Adobe SAML-app en upload de metadatabestanden opnieuw in Adobe Admin Console.
Fout: '403 app_not_configured_for_user'
Werk de entiteits-ID bij in de Google-console. Exporteer vervolgens het metadatabestand en upload het naar Adobe Admin Console.
Fout: 'Je hebt hier nu geen toegang toe' of 'Je kunt er vanaf hier niet komen'
Deze fout treedt meestal op wanneer de organisatie het voorwaardelijke beleid 'Access in IdP' heeft ingeschakeld.
Als je beheerde pakketten gebruikt om producten te implementeren, maak dan een beheerd pakket via Adobe Admin Console door de browsergebaseerde authenticatieoptie te selecteren. Implementeer dit vervolgens op het apparaat van de gebruiker.
Als je geen beheerde pakketten gebruikt, kunnen de gebruikers de Creative Cloud Desktop-applicatie openen en Aanmelden via je browser selecteren in het menu Help.
Fout: 'App niet toegewezen'
In dit geval moet de beheerder de gebruikers toevoegen aan de Adobe SAML-app die op hun IdP is gemaakt. Leer hoe je een Adobe SAML-app maakt op Google Admin Console of Microsoft Azure Portal.
Fout: 'Je hebt geen toegang tot deze service.' Neem contact op met je IT-beheerder om toegang te krijgen of meld je aan met een Adobe ID.'
Controleer de SAML logboekgegevens, aangezien de gebruikersnaam of het e-mailadres dat wordt verzonden in de SAML-bevestiging, niet overeenkomt met de gegevens die zijn ingevoerd in de Admin Console.