Présentation

La tentative de connexion à des produits, services ou applications mobiles Adobe avec un Federated ID (SSO) génère l’un des messages d’erreur suivants.

Après avoir configuré SSO avec succès dans la Adobe Admin Console, assurez-vous que vous avez cliqué sur Télécharger les métadonnées et que vous avez sauvegardé le fichier de métadonnées XML SAML sur votre ordinateur. Votre fournisseur d’identité a besoin de ce fichier pour activer l’authentification unique. Vous devez importer les détails de configuration XML correctement dans le fournisseur d’identité (IdP). Ceci est nécessaire pour l’intégration SAML avec le fournisseur d’identité et garantit que les données sont correctement configurées.

Ci-dessous sont énumérés quelques problèmes de configuration communs :

  • Le certificat est dans un format différent de PEM.
  • Le certificat possédant une extension différente de .cer, .pem et .cert ne fonctionne pas.
  • Le certificat est chiffré.
  • Le certificat est dans un format en ligne simple. Un format multiligne est requis.
  • La vérification de la révocation des certificats est activée (actuellement non prise en charge).
  • Le fournisseur IdP dans le langage SAML n’est pas identique à celui spécifié dans la console d’administration (par exemple, faute d’orthographe, caractères manquants, https ou http).

Si vous avez des questions sur l’utilisation du fichier de métadonnées XML SAML pour configurer votre fournisseur d’identité, contactez directement votre fournisseur d’identité pour obtenir des instructions qui varient selon l’IdP.

Quelques exemples pour les IdP spécifiques (pas sous la forme d’une liste complète, tout IdP conforme au protocole SAML 2 convient) :

Okta : relevez manuellement les informations requises dans le fichier XML et saisissez-les dans les champs appropriés de l’interface utilisateur pour configurer les données correctement.

Ping Federate : téléchargez le fichier XML ou saisissez les données dans les champs appropriés de l’interface utilisateur.

Microsoft ADFS : votre certificat doit être au format PEM, mais la valeur par défaut pour ADFS est au format DER. Vous pouvez convertir le certificat à l’aide de la commande openssl, disponible sous OS X, Windows ou Linux comme suit :

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Après avoir terminé l’étape ci-dessus, renommez le certificat .cer.

Assurez-vous également que le certificat approprié est utilisé si vous en avez plusieurs ; il doit être identique à celui qui va signer les requêtes. (Par exemple, si le certificat de « signature jeton » signe les requêtes, c’est celui qui doit être utilisé.) La vérification de la révocation des certificats doit être désactivée.

Si vous avez configuré votre IdP au mieux, essayez une ou plusieurs des options suivantes en fonction de l’erreur générée.

Lien de téléchargement des métadonnées

Dépannage initial

Les problèmes liés à la connexion unique sont souvent causés par des erreurs très élémentaires et faciles à ignorer. En particulier, vérifiez ce qui suit :

  • L’utilisateur est affecté à une configuration de produit avec une autorisation.
  • Le prénom, le nom et l’adresse électronique de l’utilisateur sont envoyés vers le SAML exactement telles qu’ils apparaissent dans le tableau de bord d’entreprise et sont présents dans le SAML avec le balisage correct.
  • Vérifiez toutes les entrées de la Admin Console et de votre fournisseur d’identité pour rechercher les fautes d’orthographe ou les erreurs de syntaxe.
  • L’application de bureau Creative Cloud a été mise à jour vers la dernière version.
  • L’utilisateur se connecte au bon emplacement (application de bureau CC, application CC ou adobe.com).

Message d’erreur « Une erreur s’est produite » avec bouton « Réessayer »

Une erreur s’est produite – RÉESSAYER

Cette erreur se produit généralement lorsque l’authentification de l’utilisateur a réussi et qu’Okta a transmis la réponse d’authentification à Adobe.

Dans la Adobe Admin Console, vérifiez ce qui suit :

Dans l’onglet Identité :

  • Assurez-vous que le domaine associé a été activé.

Dans l’onglet Produits :

  • Assurez-vous que l’utilisateur est associé au surnom de produit approprié et se trouve dans le domaine que vous avez réclamé pour être configuré en tant que Federated ID.
  • Assurez-vous que le surnom du produit dispose des droits appropriés.

Dans l’onglet Utilisateurs :

  • Assurez-vous que le nom d’utilisateur est indiqué sous forme d’adresse électronique complète.

Erreur « Accès refusé » à l’ouverture d’une session

Erreur Accès refusé

Causes possibles de cette erreur :

  • Le prénom, le nom ou l’adresse électronique envoyé dans la déclaration SAML ne correspond pas aux informations saisies dans la Admin Console.
  • L’utilisateur n’est pas associé au bon produit ou le produit n’est pas associé au bon droit.
  • Le nom d’utilisateur SAML reçu n’est pas une adresse électronique. Tous les utilisateurs doivent appartenir au domaine que vous avez réclamé dans le cadre de la procédure d’installation.
  • Votre client SSO utilise Javascript dans le cadre du processus de connexion et vous essayez de vous connecter à un client qui ne prend pas en charge Javascript (tel que Creative Cloud Packager).

Comment résoudre le problème :

  • Vérifiez la configuration du tableau de bord pour l’’utilisateur : informations utilisateur et configuration du produit.
  • Exécutez une trace SAML, confirmez que les informations envoyées correspondent au tableau de bord et corrigez toutes les incohérences.

Erreur « Un autre utilisateur est actuellement connecté »

L’erreur « Un autre utilisateur est actuellement connecté » se produit lorsque les attributs envoyés dans la déclaration SAML ne correspondent pas à l’adresse électronique utilisée pour commencer le processus de connexion.

Vérifiez les attributs dans la déclaration SAML et vérifiez qu’ils correspondent exactement à l’ID que l’utilisateur essaie d’utiliser, ainsi qu’aux données saisies dans la Admin Console.

Erreur « Échec de l’appel en tant que principe système » ou « Échec de la création d’utilisateur »

L’erreur « Échec de l’appel en tant que principe système » (suivi d’un code aléatoire) ou « Échec de la création d’utilisateur » indique un problème avec les attributs SAML. Veuillez vérifier que la casse des noms d’attribut est correcte (sensible à la casse, nom, etc.) : par exemple FirstName, LastName, Email. Par exemple, terminer l’attribut par email au lieu de Email peut entraîner ces erreurs.

Ces erreurs peuvent également se produire si la déclaration SAML ne contient pas l’adresse électronique de l’utilisateur dans l’élément Objet > NameId (si vous utilisez le traceur SAML, elle doit posséder le format suivant : emailAddress et l’adresse réelle sous forme de texte en tant que valeur).  

Si vous avez besoin de l’aide du support Adobe, veuillez inclure une trace SAML.

 

Erreur « L’éditeur dans la réponse SAML ne correspond pas à l’éditeur configuré pour le fournisseur d’identité »

Le fournisseur IDP dans la déclaration SAML est différent de celui qui a été configuré dans le SAML entrant. Recherchez les fautes de frappe (telles que http ou https). Lors de la vérification de la chaîne de fournisseur IDP avec le système SAML client, vous recherchez une correspondance EXACTE sur la chaîne qu’ils ont fournie. Nous avons parfois vu ce problème se produire en raison d’une barre oblique manquante à la fin.

Si vous avez besoin d’aide avec cette erreur, fournissez une trace et les valeurs SAML que vous avez saisies dans le tableau de bord Adobe.

Erreur « La signature numérique dans la réponse SAML n’a pas été validée en corrélation avec le certificat du fournisseur d’identité »

Il est possible que le fichier de certificat soit incorrect et ait besoin d'être rechargé. Ce problème se produit généralement après qu’une modification a été apportée et lorsque l’administrateur fait référence au mauvais fichier de certificat.  Vérifiez également le type de format (format PEM requis pour ADFS).

Erreur « L’heure actuelle se situe avant la plage de temps spécifiée dans les conditions de déclaration »

Windows :

Corrigez l’horloge système ou modifiez la valeur de décalage de l’heure.

Réglage de l’heure système :

Vérifiez l’horloge système à l’aide de cette commande :

w32tm /query /status

Vous pouvez corriger l’horloge système sous Windows Server avec la commande suivante :

w32tm /resync

Si l’horloge système est définie correctement, vous pouvez être amené à créer la tolérance pour une différence entre l’IdP et le système qu’il authentifie.

Décalage de l’horloge

Commencez en définissant la valeur de décalage sur 2 minutes. Vérifiez si vous pouvez vous connecter, puis augmentez ou diminuez la valeur en fonction du résultat. Rechercher des détails complets dans la base de connaissances Microsoft

Pour résumer, vous pouvez exécuter les commandes suivantes à partir de Powershell :

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Pour simplement voir ce que les valeurs étaient à l’origine
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Définir le décalage sur 2 minutes

où « urn:party:sso » est l’un des identifiants pour votre partie de confiance

Remarque : vous pouvez employer Get-ADFSRelyingPartyTrust cmdlet sans paramètre pour obtenir tous les objets de confiance de la partie de confiance.

Systèmes UNIX :

Assurez-vous que l’horloge système est définie correctement, par exemple avec la commande suivante :

ntpdate -u pool.ntp.org

Le destinataire spécifié dans SubjectConfirmation ne correspond pas à l’ID d’entité du fournisseur de services

Vérifiez les attributs parce qu’ils doivent exactement correspondre à la casse suivante : FirstName, LastName, Email. Ce message d’erreur peut signifier qu’un des attributs n’utilise pas la casse appropriée, telle que « email » au lieu de « Email ».  Vérifiez également la valeur du destinataire : elle doit se rapporter à la chaîne ACS.

Chaîne ACS

Erreur 401 Informations d’identification non autorisées

Cette erreur se produit lorsque l’application ne prend pas en charge la connexion fédérée et qu’il faut y accéder en tant qu’Adobe ID. Framemaker, RoboHelp et Captivate sont des exemples d’applications avec cette condition.

Erreur « Échec de la connexion SAML entrante avec le message : La réponse SAML ne contient aucun certificat »

Vérifiez le processus de connexion.  Si vous pouvez accéder à la page de connexion à partir d’un autre ordinateur ou réseau mais pas en interne, le problème peut être une chaîne d’agent bloquant.  En outre, exécutez une trace SAML et vérifiez que le prénom, le nom de famille et le nom d’utilisateur se trouvent dans l’objet SAML sous forme d’adresse électronique correctement formatée.

Erreur 400 Requête incorrecte / Erreur « Échec du statut de la requête SAML » / Échec de la validation de la déclaration SAML

Erreur 400 Requête incorrecte

Vérifiez si l’assertion SAML appropriée est envoyée :

  • Vérifiez que le fournisseur d’identité transfère les attributs suivants (en respectant la casse) dans la déclaration SAML : FirstName, LastName, Email. Si ces attributs ne sont pas configurés dans l’IdP afin d’être envoyés comme faisant partie de la configuration du Connecteur SAML 2.0, l’authentification ne fonctionnera pas.
  • Ne comporte pas d’élément NameID dans l’objet. Confirmez que l’élément Objet contient un élément NameId. Il doit être égal à l’attribut Email qui doit être l’adresse électronique de l’utilisateur que vous souhaitez authentifier.
  • Fautes d’orthographe, particulièrement celles facilement ignorées comme https ou http.
  • Vérifiez que le certificat approprié a été fourni. Les IdP doivent être configurés pour utiliser des requêtes/réponses SAML non comprimées. Le protocole SAML entrant Okta fonctionne uniquement avec les paramètres non compressés (et non avec les paramètres compressés).

Un utilitaire tel que SAML Tracer pour Firefox peut aider à déballer la déclaration et à l’afficher pour contrôle. Si vous avez besoin de l’aide du support Adobe, vous serez invité à fournir ce fichier. 

L’exemple fonctionnel suivant peut vous aider à composer correctement la déclaration SAML :

Telechargement

Avec Microsoft ADFS :

  1. Chaque compte Active Directory doit posséder une adresse électronique figurant dans Active Directory pour ouvrir une session (journal d’événements : La réponse SAML ne comporte pas NameId dans la déclaration). Vérifiez ceci en premier.
  2. Accédez au tableau de bord
  3. Cliquez sur l’onglet Identité, puis sur le domaine.
  4. Cliquez sur Modifier la configuration.
  5. Localisez la liaison à l’IDP. Basculez sur HTTP-POST, puis enregistrez. 
  6. Vérifiez à nouveau le processus de connexion.
  7. Si cela fonctionne mais que vous préférez la configuration antérieure, basculez simplement de nouveau sur HTTP-REDIRECT et rechargez les métadonnées dans ADFS.

Avec d’autres IdP :

  1. Si l’erreur 400 se produit, une connexion réussie a été refusée par votre IdP.
  2. Recherchez la source de l’erreur dans vos journaux IdP.
  3. Corrigez le problème et réessayez.

Configuration de Microsoft ADFS

Consultez le guide étape par étape pour la configuration de Microsoft ADFS.

Si une fenêtre vide s’affiche dans Creative Cloud pour un client Mac, assurez-vous que l’agent utilisateur « Creative Cloud » est fiable.

Configuration de Microsoft Azure

Consultez le guide étape par étape pour la configuration de Microsoft Azure.

Configuration de OneLogin

Consultez le guide étape par étape pour la configuration de OneLogin.

Configuration de Okta

Consultez le guide étape par étape pour la configuration d’Okta.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne