Guide d'utilisation Annuler

Impossible de se connecter aux produits, services ou applications mobiles Adobe avec Federated ID (SSO) : résolution des erreurs

  1. Adobe Entreprise et Équipes : Guide de l’administrateur
  2. Planification de votre déploiement
    1. Concepts de base
      1. Gestion des licences
      2. Identité
      3. Gestion des utilisateurs
      4. Déploiement des applications
      5. Présentation du portail Admin Console
      6. Rôles d’administrateur
    2. Guides de déploiement
      1. Guide de déploiement pour les licences nominatives
      2. Guide de déploiement SDL
      3. Déploiement d’Adobe Acrobat 
    3. Déploiement de Creative Cloud abonnement Éducation
      1. Guide de déploiement
      2. Activation d’Adobe Express dans Google Classroom
      3. Intégration à Canvas LMS
      4. Intégration à Blackboard Learn
      5. Configuration de l’authentification unique pour les portails de district et les LMS
      6. FAQ sur Kivuto
      7. Règles d’éligibilité pour les établissements primaires et secondaires
  3. Configuration de votre organisation
    1. Configuration des identités
      1. Types d’identités | Présentation
      2. Configuration d’une organisation avec Enterprise ID
      3. Configuration d’une organisation avec Federated ID
        1. Présentation de l’authentification unique (SSO)
        2. Configuration et synchronisation d’Azure Connector
          1. Configuration de l’authentification unique avec Microsoft via Azure OIDC
          2. Ajout d’Azure Sync à votre répertoire
          3. FAQ sur Azure Connector
        3. Configuration et synchronisation de la fédération Google
          1. Configuration de l’authentification unique avec la fédération Google
          2. Ajout de Google Sync à votre répertoire
          3. FAQ sur la fédération Google
        4. SAML générique
          1. Configuration de l’authentification unique avec d’autres fournisseurs SAML
          2. Configuration de l’authentification unique avec Microsoft ADFS
          3. Questions fréquentes sur l’authentification unique
          4. Résolution des problèmes liés à l’authentification unique
        5. Authentification unique pour le secteur de l’éducation
          1. Configuration de l’authentification unique pour les portails de district et les LMS
          2. Questions fréquentes
      4. Vérification de la propriété d’un domaine
      5. Ajout et gestion de domaines
      6. Association de domaines aux répertoires
      7. Gestion des domaines et répertoires existants
      8. Ajout de domaines prédéposés à l’aide de l’approbation de répertoires
      9. Migration vers un nouveau fournisseur d’authentification
    2. Paramètres des actifs
    3. Paramètres d’authentification
    4. Confidentialité et contacts de sécurité
    5. Paramètres de la console
    6. Gestion du chiffrement
  4. Gestion des produits et des autorisations
    1. Gestion des utilisateurs
      1. Présentation
      2. Rôles administratifs
      3. Techniques de gestion des utilisateurs
        1. Gestion individuelle des utilisateurs   
        2. Gestion groupée des utilisateurs (chargement CSV en bloc)
        3. Outil User Sync (UST)
        4. Synchronisation avec Microsoft Azure
        5. Synchronisation avec la fédération Google
      4. Changement du type d’identité d’un utilisateur
      5. Gestion des groupes d’utilisateurs
      6. Gestion des utilisateurs d’un répertoire
      7. Gestion des développeurs
      8. Migration d’utilisateurs existants vers le portail Adobe Admin Console
      9. Migration de la gestion d’utilisateurs vers le portail Adobe Admin Console
    2. Gestion des produits et des profils de produit
      1. Gestion des produits
      2. Gestion des profils de produit pour les utilisateurs de la formule Entreprise
      3. Gestion des politiques de libre-service
      4. Gestion des intégrations d’application
      5. Gestion des autorisations de produit dans Admin Console  
      6. Activation/désactivation de services pour un profil de produit
      7. Une seule application | Creative Cloud abonnement Entreprise
      8. Services facultatifs
    3. Gestion des licences de périphériques partagés
      1. Nouveautés
      2. Guide de déploiement
      3. Création de packs
      4. Récupération des licences
      5. Migration vers des licences par périphérique
      6. Gestion des profils
      7. Licensing Toolkit
      8. FAQ sur les licences de périphériques partagés
  5. Gestion des actifs et des espaces de stockage
    1. Stockage
      1. Gestion de l’espace de stockage en entreprise
      2. Adobe Creative Cloud : mise à jour du stockage
      3. Gestion de l’espace de stockage Adobe
    2. Migration des actifs
      1. Migration automatisée des actifs
      2. FAQ sur la migration automatisée des actifs  
      3. Gestion des actifs transférés
    3. Récupération des actifs d’un utilisateur
    4. Migration des actifs des étudiants | Établissements scolaires uniquement
      1. Migration automatique des actifs des étudiants
      2. Migration de vos actifs
  6. Gestion des services
    1. Adobe Stock
      1. Packs de crédits Adobe Stock pour les équipes
      2. Adobe Stock pour les entreprises
      3. Utilisation d’Adobe Stock pour les entreprises
      4. Approbation pour l’achat de licences sur Adobe Stock
    2. Polices personnalisées
    3. Adobe Asset Link
      1. Présentation
      2. Création de groupes d’utilisateurs
      3. Configuration d’Adobe Experience Manager Assets
      4. Configuration et installation d’Adobe Asset Link
      5. Gestion des actifs
      6. Asset Link pour Adobe XD
    4. Adobe Acrobat Sign
      1. Configuration d’Adobe Acrobat Sign pour les entreprises ou les équipes
      2. Adobe Acrobat Sign - Administrateur des fonctionnalités d’équipe
      3. Gestion d’Adobe Acrobat Sign sur le portail Admin Console
    5. Creative Cloud abonnement Entreprise – abonnement gratuit
      1. Présentation
      2. Prise en main
  7. Déploiement des applications et des mises à jour
    1. Présentation
      1. Déploiement et diffusion des applications et des mises à jour
      2. Planification du déploiement
      3. Préparation du déploiement
    2. Création de packs
      1. Création de packs d’applications via Admin Console
      2. Création de packs de licences nominatives
      3. Modèles Adobe pour les packs
      4. Gestion des packs
      5. Gestion des licences de périphérique
      6. Licences avec numéro de série
    3. Personnalisation des packs
      1. Personnalisation de l’application de bureau Creative Cloud
      2. Ajout d’extensions dans un pack
    4. Déploiement de packs 
      1. Déploiement de packs
      2. Déploiement de packs Adobe à l’aide de Microsoft Intune
      3. Déploiement de packs Adobe avec SCCM
      4. Déploiement de packs Adobe avec ARD
      5. Installation de produits dans le dossier Exceptions
      6. Désinstallation de produits Creative Cloud
      7. Utilisation d’Adobe Provisioning Toolkit Enterprise Edition
      8. Identifiants de licences Adobe Creative Cloud
    5. Gestion des mises à jour
      1. Gestion des changements pour les clients des abonnements Entreprise et Équipe d’Adobe
      2. Déploiement de mises à jour
    6. Adobe Update Server Setup Tool (AUSST)
      1. Présentation d’AUSST
      2. Configuration du serveur de mise à jour interne
      3. Gestion du serveur de mise à jour interne
      4. Cas d’utilisation courants d’AUSST   
      5. Dépannage du serveur de mise à jour interne
    7. Adobe Remote Update Manager (RUM)
      1. Utilisation d’Adobe Remote Update Manager
      2. ID de canal pour une utilisation avec Adobe Remote Update Manager
      3. Résolution des erreurs dans RUM
    8. Résolution des problèmes
      1. Résolution des problèmes d’installation et de désinstallation d’applications Creative Cloud
      2. Interrogation des machines clientes afin de déterminer si un pack a été déployé
      3. Message d’erreur « Échec de l’installation » de pack Creative Cloud
    9. Création de packs à l’aide de l’outil Creative Cloud Packager (applications CC 2018 ou antérieures)
      1. À propos de Creative Cloud Packager
      2. Notes de mise à jour sur Creative Cloud Packager
      3. Création de packs d’applications
      4. Création de packs à l’aide de Creative Cloud Packager
      5. Création de packs avec licences nominatives
      6. Création de packs avec licences de périphérique
      7. Création d’un pack de licences
      8. Création de packs de licences avec numéro de série
      9. Automatisation de Packager
      10. Inclusion de produits non associés à Creative Cloud dans un pack
      11. Modification et enregistrement de configurations
      12. Définition de paramètres régionaux au niveau du système
  8. Gestion de votre compte
    1. Gestion de votre compte Équipe
      1. Présentation
      2. Mise à jour des informations de paiement
      3. Gestion des factures
      4. Modification du propriétaire d’un contrat
      5. Changement de revendeur
    2. Attribution de licences à un utilisateur de la formule Équipe
    3. Ajout de produits et de licences
    4. Renouvellements
      1. Abonnement Équipe : renouvellements
      2. Programme Enterprise in VIP : renouvellements et conformité
    5. Étapes d’expiration automatisées pour les contrats ETLA
    6. Changement de type de contrat sur un portail Adobe Admin Console existant
    7. Conformité des demandes d’achat
    8. Programme VIP (Value Incentive Plan) en Chine
    9. Aide de VIP Select
  9. Rapports et journaux
    1. Journal d’audit
    2. Rapports d’attribution
    3. Journaux de contenu
  10. Obtenir de l’aide
    1. Contacter l’assistance clientèle Adobe
    2. Options de support pour les comptes d’équipe
    3. Options de support pour les comptes d’entreprise
    4. Options de support pour Experience Cloud
Remarque :

Cet article ne s’applique pas aux configurations SSO utilisant la fédération Google ou Microsoft Azure Sync.

Si votre organisation a configuré l’authentification SSO via l’un de ces fournisseurs d’identité, reportez-vous aux articles suivants :

Présentation

Après avoir configuré avec succès l’authentification unique SSO dans Adobe Admin Console, assurez-vous d’avoir cliqué sur Télécharger le fichier de métadonnées Adobe et d’avoir enregistré le fichier de métadonnées XML SAML sur votre ordinateur. Votre fournisseur d’identité a besoin de ce fichier pour activer l’authentification unique. Importez correctement les détails de la configuration XML vers votre fournisseur d’identité (IdP). Ceci est requis pour l’intégration SAML avec votre IdP et garantira que les données sont correctement configurées.

Si vous avez des questions sur la façon d’utiliser le fichier de métadonnées XML SAML pour configurer votre IdP, contactez directement celui-ci pour obtenir des instructions. Celles-ci varient d’un IdP à l’autre.

Télécharger le fichier de métadonnées Adobe

Dépannage de base

Les problèmes liés à l’authentification unique sont souvent causés par des erreurs basiques qu’il est facile de laisser passer. En particulier, vérifiez les points suivants :

  • L’utilisateur est affecté à un profil de produit avec des droits.
  • Le nom d’utilisateur envoyé à SAML correspond à celui figurant dans le tableau de bord d’entreprise.
  • Vérifiez toutes les entrées d’Admin Console et de votre fournisseur d’identité, à la recherche d’éventuelles erreurs d’orthographe ou de syntaxe.
  • L’application Creative Cloud sur ordinateur a été mise à jour vers la dernière version.
  • L’utilisateur se connecte au bon emplacement (application pour postes de travail Creative Cloud, application Creative Cloud ou Adobe.com)

Erreur « Une erreur s’est produite » avec le bouton « Réessayer »

Cette erreur se produit généralement après que l’authentification de l’utilisateur a réussi et qu’Okta a transmis avec succès la réponse d’authentification à Adobe.

Dans Adobe Admin Console, validez les éléments suivants :

Dans l’onglet Identité :

  • Assurez-vous que le domaine associé a été activé.

Dans l’onglet Produits :

  • Assurez-vous que l’utilisateur est associé au pseudonyme de produit correct et au domaine que vous avez déclaré être configuré en tant que Federated ID.
  • Assurez-vous que le pseudonyme du produit dispose des droits appropriés.

Dans l’onglet Utilisateurs :

  • Assurez-vous que le nom d’utilisateur se présente sous la forme d’une adresse e-mail complète.

Erreur « Accès refusé » lors de la connexion

Causes possibles de cette erreur :

  • Le nom d’utilisateur ou l’adresse e-mail envoyés dans l’assertion SAML ne correspondent pas aux informations saisies dans Admin Console.
  • L’utilisateur n’est pas associé au bon produit ou le produit n’est pas associé au droit approprié.
  • Le nom d’utilisateur SAML apparaît comme autre chose qu’une adresse e-mail. Tous les utilisateurs doivent appartenir au domaine que vous avez réclamé dans le cadre de la procédure d’installation.
  • Votre client SSO utilise JavaScript dans le cadre du processus de connexion, et vous essayez de vous connecter à un client qui ne prend pas en charge JavaScript (tel que Creative Cloud Packager).

Résolution :

  • Vérifiez la configuration du tableau de bord pour l’utilisateur : informations utilisateur et profil produit.
  • Exécutez une trace SAML et vérifiez que les informations envoyées correspondent au tableau de bord, puis corrigez les incohérences.

Erreur « Un autre utilisateur est actuellement connecté »

L’erreur « Un autre utilisateur est actuellement connecté » se produit lorsque les attributs envoyés dans l’assertion SAML ne correspondent pas à l’adresse e-mail qui a été utilisée pour démarrer le processus de connexion.

Vérifiez et assurez-vous que l’adresse e-mail de l’utilisateur pour se connecter correspond à ce qui suit :

  • Adresse e-mail de l’utilisateur répertoriée dans le portail Admin Console
  • Nom d’utilisateur renvoyé dans le champ NameID de l’assertion SAML

Erreur « L’émetteur dans la réponse SAML ne correspond pas à l’émetteur configuré pour le fournisseur d’identité »

L’émetteur IDP dans l’assertion SAML est différent de celui qui a été configuré dans le SAML entrant. Recherchez toute faute de frappe éventuelle (par exemple, http au lieu de https). Lorsque vous vérifiez la chaîne de l’émetteur IDP avec le système SAML du client, recherchez une correspondance EXACTE avec la chaîne fournie. Ce problème survient parfois parce qu’une barre oblique manquait à la fin.

Si vous avez besoin d’aide pour résoudre cette erreur, fournissez une trace SAML et les valeurs que vous avez entrées dans le tableau de bord Adobe.

Erreur « La signature numérique dans la réponse SAML n’a pas été validée avec le certificat du fournisseur d’identité »

Ce problème se produit lorsque le certificat de votre répertoire a expiré. Pour mettre à jour le certificat, vous devez télécharger ce dernier ou les métadonnées à partir du fournisseur d’identité, et les charger dans Adobe Admin Console.

Par exemple, procédez comme suit si votre IdP est Microsoft AD FS :

  1. Ouvrez l’application AD FS Management sur votre serveur et dans le dossier AD FS> Service > Points de terminaison, sélectionnez Métadonnées de la fédération.

    Emplacement des métadonnées

  2. Utilisez un navigateur pour accéder à l’URL fournie par rapport aux métadonnées de fédération et téléchargez le fichier. Par exemple, https://<votre nom d’hôte AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Remarque :

    Acceptez tous les avertissements si vous y êtes invité.

  3. Connectez-vous à votre Adobe Admin Console et accédez à Paramètres Identité > Répertoires. Sélectionnez le répertoire à mettre à jour et cliquez sur Configurer sur la carte Fournisseur SAML.

    Ensuite, chargez le fichier de métadonnées IdP et enregistrez.

Erreur « L’heure actuelle se situe avant la plage de temps spécifiée dans les conditions d’assertion »

Serveur IdP basé sur Windows :

1. Assurez-vous que l’horloge système est synchronisée avec un serveur de temps précis.

Vérifiez la précision de l’horloge système par rapport à votre serveur de temps avec cette commande ; la valeur de « décalage de phase » doit être une petite fraction de seconde :

w32tm /query /status /verbose

Vous pouvez provoquer une resynchronisation immédiate de l’horloge système avec le serveur de temps à l’aide de la commande suivante :

w32tm /resync

Si l’horloge système est correctement réglée et que l’erreur ci-dessus est toujours visible, vous devrez peut-être ajuster le paramètre de décalage pour augmenter la tolérance de différence entre les horloges côté serveur et côté client.

2. Augmentez la différence autorisée dans l’horloge système entre les serveurs.

Dans une fenêtre Powershell avec des droits d’administration, définissez la valeur de décalage autorisée sur 2 minutes. Vérifiez si vous pouvez vous connecter, puis augmentez ou diminuez la valeur en fonction du résultat.

Déterminez le paramètre de décalage actuel pour l’approbation de partie de confiance concernée à l’aide de la commande suivante :

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

L’approbation de partie de confiance est identifiée par l’URL indiquée dans le champ « Identifiant » de la sortie de la commande précédente pour cette configuration spécifique. Cette URL est également affichée dans l’utilitaire ADFS Management de la fenêtre de propriétés de l’approbation de partie de confiance concernée, sous l’onglet « Identifiants » du champ « Approbations de partie de confiance », comme illustré dans la capture d’écran ci-dessous.

Définissez le décalage sur 2 minutes à l’aide de la commande suivante, en remplaçant l’adresse d’identifiant en conséquence :

Set-ADFSRelyingPartyTrust –TargetIdentifier ’https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx’ –NotBeforeSkew 2  

Serveur IdP basé sur UNIX

Assurez-vous que l’horloge système est définie correctement à l’aide du service ntpd ou manuellement à l’aide de la commande ntpdate à partir d’un shell racine ou avec sudo, comme indiqué ci-dessous (notez que si l’heure est décalée de plus de 0,5 seconde, la modification ne se produira pas immédiatement, mais cela corrigera lentement l’horloge système). Assurez-vous que le fuseau horaire est également défini correctement.

# ntpdate -u pool.ntp.org

Remarque :

Cela fonctionne avec les fournisseurs d’identité tels que Shibboleth.

Erreur 401 Informations d’identification non autorisées

Cette erreur se produit lorsque l’application ne prend pas en charge la connexion fédérée et qu’il faut y accéder en tant qu’Adobe ID. FrameMaker, RoboHelp et Adobe Captivate sont des exemples d’applications avec cette condition.

Erreur « Échec de la connexion SAML entrante avec le message : La réponse SAML ne contient aucune assertion »

Vérifiez le processus de connexion.  Si vous pouvez accéder à la page de connexion à partir d’un autre ordinateur ou réseau mais pas en interne, le problème peut être une chaîne d’agent bloquant.  En outre, exécutez une trace SAML et vérifiez que le prénom, le nom de famille et le nom d’utilisateur se trouvent dans l’objet SAML sous forme d’adresse électronique correctement formatée.

Erreur 400 Requête incorrecte/Erreur « Échec du statut de la requête SAML »/Échec de la validation de la déclaration SAML

Confirmez l’envoi de l’assertion SAML adéquate :

  • Ne comporte pas d’élément NameID dans l’objet. Confirmez que l’élément Objet contient un élément NameId. Il doit être égal à l’attribut Email qui doit être l’adresse électronique de l’utilisateur que vous souhaitez authentifier.
  • Erreurs d’orthographe, en particulier celles facilement négligées comme https au lieu de http.
  • Vérifiez que le certificat correct a été fourni. Les IdP doivent être configurés pour utiliser des requêtes/réponses SAML non comprimées.

Un utilitaire tel que SAML Tracer pour Firefox peut aider à déballer l’assertion et à l’afficher pour contrôle. Si vous avez besoin de l’aide de l’assistance clientèle Adobe, ce fichier vous sera demandé. Pour en savoir plus, consultez la section Comment réaliser une trace SAML.

L’exemple fonctionnel suivant peut vous aider à composer correctement l’assertion SAML :

Telechargement

Avec Microsoft ADFS :

  1. Chaque compte Active Directory doit posséder une adresse e-mail figurant dans Active Directory pour ouvrir une session (journal d’événements : La réponse SAML ne comporte pas NameId dans l’assertion). Vérifiez ceci en premier.
  2. Accédez au tableau de bord
  3. Cliquez sur l’onglet Identité, puis sur le domaine.
  4. Cliquez sur Modifier la configuration.
  5. Localisez la liaison à l’IDP. Basculez sur HTTP-POST, puis enregistrez. 
  6. Vérifiez à nouveau l’expérience de connexion.
  7. Si cela fonctionne mais que vous préférez la configuration antérieure, rebasculez tout simplement sur HTTP-REDIRECT et rechargez les métadonnées dans ADFS.

Avec d’autres IdP :

  1. Si l’erreur 400 se produit, une connexion réussie a été refusée par votre IdP.
  2. Recherchez la source de l’erreur dans vos journaux IdP.
  3. Corrigez le problème et réessayez.
Logo Adobe

Accéder à votre compte