Panoramica

Se si tenta di accedere a prodotti, servizi o applicazioni Adobe per dispositivi mobili con Federated ID (SSO), viene visualizzato uno dei seguenti messaggi di errore.

Dopo aver configurato correttamente l’SSO all’interno della Console di amministrazione Adobe, assicurati di avere fatto clic sul download dei metadati e di avere salvato il file di metadati XML SAML nel computer.°Il fornitore di identità richiede che questo file abiliti il single sign-on.°È necessario importare correttamente i dettagli di configurazione XML nel tuo fornitore di identità (IdP). Questa procedura è richiesta per l'integrazione SAML nel tuo IdP e garantisce che i dati siano configurati correttamente.

Ecco alcuni dei problemi di configurazione più comuni:

  • Il certificato è in un formato diverso da PEM.
  • Il certificato presenta un’estensione diversa da .cer. .pem e .cer non funziona.
  • Il certificato è crittografato.
  • Il certificato è in formato a riga singola. È necessario un formato a riga multipla.
  • La verifica della revoca del certificato è attivata (al momento non è supportata).
  • L’emittente IdP in SAML non è lo stesso specificato nella Console di amministrazione (ad esempio contiene un errore ortografico, caratteri mancanti, https invece di http).

Se hai domande su come utilizzare il file di metadati XML SAML per configurare il tuo IdP, contatta il tuo IdP direttamente per ricevere istruzioni, poiché esse variano per ciascun IdP.

Alcuni esempi per IdP specifici (l’elenco non è completo; qualsiasi IdP conforme allo standard SAML 2 è idoneo):

Okta: annota manualmente le informazioni necessarie all'interno del file XML e immettile nei campi adeguati dell’interfaccia utente per configurare correttamente i dati.

Ping Federate:°carica il file XML o immetti i dati nei campi appropriati dell’interfaccia utente.

Microsoft ADFS: il certificato deve essere in formato PEM, ma il valore predefinito per ADFS è DER. Puoi convertire il certificato con il comando openssl, disponibile su OS X, Windows o Linux, come indicato di seguito:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Dopo l'esecuzione dell’operazione sopra illustrata, rinomina il certificato .cer.

Accertati inoltre che venga utilizzato il certificato corretto se ne è presente più di uno; deve corrispondere a quello che verrà utilizzato per firmare le richieste. (Ad esempio, se il certificato di “firma del token” firma le richieste, quello è il certificato da utilizzare.) La verifica della revoca dei certificati deve essere disattivata.

Se hai configurato il tuo IdP al meglio in base alla tua esperienza, prova una o più delle seguenti operazioni a seconda dell’errore ricevuto.

Collegamento di download dei metadati

Risoluzione dei problemi di base

I problemi relativi al single sign-on sono spesso causati da errori molto semplici che sono facili da ignorare. In particolare, effettua i seguenti controlli:

  • L’utente è assegnato a una configurazione del prodotto con un’autorizzazione.
  • Il nome, il cognome e l’indirizzo e-mail dell’utente vengono inviati a SAML esattamente come sono visualizzati nell’Enterprise Dashboard e sono presenti in SAML con l’etichetta corretta.
  • Controlla tutte le voci nella Console di amministrazione e il tuo fornitore di identità per verificare che non ci siano errori di sintassi o di ortografia.
  • L’applicazione Creative Cloud per desktop è stata aggiornata alla versione più recente.
  • L’utente effettua l’accesso nel luogo appropriato (applicazione CC Desktop, applicazione CC o adobe.com)

Errore “Si è verificato un errore” con il pulsante “Riprova”

Si è verificato un errore - RIPROVA

Questo errore si verifica di solito quando l’autenticazione dell’utente è andata a buon fine e Okta ha inoltrato la risposta correttamente ad Adobe.

Nella Console di amministrazione Adobe, convalida i seguenti elementi:

Nella scheda Identità:

  • Accertati che il dominio collegato sia stato attivato.

Nella scheda Prodotti:

  • Assicurati che l’utente sia associato al nickname del prodotto corretto e nel dominio richiesto configurato come Federated ID.
  • Accertati che il nickname del prodotto disponga delle assegnazioni corrette.

Nella scheda Utenti:

  • Accertati che il nome dell’utente sia rappresentato da un indirizzo e-mail completo.

Errore “Accesso negato” all’accesso

Errore di Accesso negato

Le possibili cause dell’errore:

  • Il nome, il cognome e l’indirizzo e-mail che inviato nell’asserzione SAML non corrisponde alle informazioni specificate nella Console di amministrazione.
  • L’utente non è associato al prodotto giusto o il prodotto non è associato all’autorizzazione corretta.
  • Il nome utente SAML è diverso dall’indirizzo e-mail. Tutti gli utenti devono trovarsi nel dominio richiesto nell’ambito del processo di installazione.
  • Il client di SSO utilizza Javascript nell’ambito della procedura di accesso e stai tentando di accedere a un client che non supporta Javascript (ad esempio, Creative Cloud Packager).

Per risolvere:

  • Verifica la configurazione del dashboard per l’utente: informazioni dell’utente e configurazione prodotto.
  • Esegui una traccia SAML e verifica che le informazioni in fase di invio corrispondano al dashboard, quindi correggi eventuali incoerenze.

Errore “Un altro utente è attualmente connesso”

L’errore “Un altro utente è attualmente connesso” si verifica quando gli attributi inviati nell’asserzione SAML non corrispondono all’indirizzo e-mail utilizzato per avviare la procedura di accesso.

Verifica gli attributi nell’asserzione SAML e assicurati che corrispondano esattamente sia all’ID che l’utente sta tentando di usare, sia alla Console di amministrazione.

Errore “Impossibile effettuare una chiamata come principio di sistema” o “Creazione utente non riuscita”

L’errore “Impossibile effettuare una chiamata come principio di sistema” (seguito da un codice casuale) o “Creazione utente non riuscita” indica un problema relativo agli attributi SAML.°Accertati che i nomi degli attributi siano scritti correttamente (maiuscole/minuscole, assegnazione dei nomi): Nome, Cognome, E-mail. Ad esempio, questi errori possono verificarsi se l'attributo termina con “e-mail” invece di “E-mail”.

Inoltre, questi errori si verificano anche se l’asserzione SAML non contiene l’indirizzo e-mail dell’utente nell’elemento Oggetto > NameId > (se utilizzi SAML Tracer, esso deve avere il formato emailAddress e l’e-mail effettiva come testo come valore).  

Se hai bisogno di assistenza da Adobe, includi una traccia SAML.

 

Errore: “L’Emittente nella risposta SAML non corrispondeva all’emittente configurato per il fornitore di identità”

L’emittente IDP nell’asserzione SAML è diverso da quello che è stato configurato nel SAML in entrata. Individua gli errori di ortografia (come http invece di https). Nel controllare la stringa dell’emittente IDP con il sistema SAML del cliente, cerca una corrispondenza ESATTA con la stringa fornita. Questo problema a volte si verifica perché manca una barra alla fine.

Se hai bisogno di assistenza per questo errore, fornisci una traccia SAML e i valori immessi nel dashboard di Adobe.

Errore “La firma digitale nella risposta SAML non è stata convalida con il certificato del fornitore di identità”

Il file del certificato probabilmente non è corretto e deve essere caricato nuovamente. Questo problema si verifica in genere dopo che è stata apportata una modifica e che l’amministratore fa riferimento al file cert non corretto.° Inoltre, verifica il tipo di formato (deve essere in formato PEM per ADFS).

Errore “L’ora corrente è prima dell’intervallo di tempo specificato nelle condizioni dell’asserzione”

Windows:

Correggi l’orologio di sistema o regola il valore di sfasamento orario.

Impostazione dell’ora del sistema:

Controlla l’orologio di sistema con questo comando:

w32tm /query /status

È possibile correggere l’orologio di sistema su Windows Server con il comando seguente:

w32tm /resync

Se l’orologio di sistema è impostato correttamente, potrebbe essere necessario creare la tolleranza per una differenza tra l’IdP e il sistema in fase di autenticazione.

Sfasamento orario

Inizia impostando il valore di sfasamento su 2 minuti. Verifica se riesci a connetterti, quindi aumenta o diminuisci il valore in base al risultato. Trovi i dettagli completi nella°knowledge base di Microsoft

Per riepilogare, da Powershell è possibile eseguire i seguenti comandi:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Solo per vedere quali erano i valori originari
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Imposta lo sfasamento su 2 minuti

dove “urn:party:sso” è uno dei valori di identificazione per il componente

Nota: puoi usare Get-ADFSRelyingPartyTrust cmdlet senza parametri per ottenere tutti gli oggetti attendibilità componente.

Sistemi basati su UNIX:

Verifica che l’orologio di sistema sia impostato correttamente, ad esempio, con il seguente comando:

ntpdate -u pool.ntp.org

Il destinatario specificato in SubjectConfirmation non corrisponde all’id dell’entità del fornitore di servizi

Controlla gli attributi, poiché devono corrispondere esattamente ai seguenti valori: Nome, Cognome, E-mail. Questo messaggio di errore può significare che uno degli attributi presenta un errore di maiuscole/minuscole, ad esempio “e-mail” invece di “E-mail”. °Verifica inoltre che il valore del destinatario faccia riferimento alla stringa ACS.

Stringa ACS

Errore 401 - credenziali non autorizzate

Questo errore si verifica quando l’applicazione non supporta l’accesso Federated e deve avere eseguito l’accesso come Adobe ID. Framemaker, RoboHelp e Captivate sono esempi di applicazioni con questo requisito.

Errore “Accesso SAML in entrata non riuscito con messaggio: La risposta SAML non conteneva asserzioni”

Controlla il flusso di lavoro di accesso. °Se puoi accedere alla pagina di accesso su un altro computer o un’altra rete, ma non internamente, il problema può essere una stringa agente di blocco. °Inoltre, esegui una traccia SAML e conferma che Nome, Cognome e Nome utente°come indirizzo e-mail con corretta formattazione si trovino dell’oggetto SAML.

Errore 400 richiesta non valida / Errore “Lo stato della richiesta SAML non è andato a buon fine” / Convalida della certificazione SAML non riuscita

Errore 400 richiesta non valida

Verifica che venga inviata l’asserzione SAML corretta:

  • Verifica che il fornitore di identità passi i seguenti attributi (con distinzione di maiuscole e minuscole) nell’asserzione SAML: Nome, Cognome, E-mail. Se questi attributi non sono configurati nell’IdP per essere inviati nell’ambito della configurazione del connettore SAML 2.0, l’autenticazione non funziona.
  • L’elemento NameID non è presente nell’oggetto. Verifica che l’elemento Oggetto contenga un elemento NameId. Deve essere uguale all’attributo E-mail, che deve corrispondere all’indirizzo e-mail dell’utente che desideri autenticare.
  • Errori ortografici, in particolare quelli non facili da individuare, ad esempio https invece di http.
  • Verifica che sia stato fornito il certificato corretto. È necessario configurare gli IDP per utilizzare le richieste/risposte SAML non compresse. Il protocollo SAML in entrata Okta funziona solo con le impostazioni non compresse (impostazioni non compresse).

Un’utilità quale°SAML Tracer per Firefox può contribuire a spacchettare l’asserzione e a visualizzarla per l’ispezione. Se hai bisogno di assistenza da Adobe, ti verrò richiesto questo file. 

Il seguente esempio pratico può aiutare a formattare correttamente l’asserzione SAML:

Scarica

Con Microsoft ADFS:

  1. Ogni account di Active Directory deve avere un indirizzo e-mail elencato in Active Directory per poter accedere correttamente (registro eventi:°La risposta SAML non dispone di NameId nell’asserzione). Prima verifica questo.
  2. Accedi al dashboard
  3. Fai clic sulla scheda Identità e sul dominio.
  4. Fai clic su Modifica Configurazione.
  5. Individua il Binding IDP. Passa a HTTP-POST, quindi salva. 
  6. Tenta nuovamente l’accesso.
  7. Se funziona ma preferisci l'impostazione precedente, è sufficiente passare di nuovo a HTTP-REDIRECT e ricaricare i metadati in ADFS.

Con altri IdP:

  1. Se si verifica l’errore 400, l’accesso è stato rifiutato dal tuo IdP.
  2. Per individuare l’origine dell’errore, verifica i registri IdP.
  3. Correggi il problema e riprova.

Configurazione di Microsoft ADFS

Consulta la guida passo passo per la configurazione di Microsoft ADFS.

Se un client Mac presenta una finestra vuota in Creative Cloud, assicurati che l’agente dell’utente “Creative Cloud” sia affidabile.

Configurazione di Microsoft Azure

Consulta la guida passo passo per la configurazione di Microsoft Azure.

Configurazione di OneLogin

Consulta la guida passo passo per la configurazione di OneLogin.

Configurazione di Okta

Consulta la guida passo passo per la configurazione di Okta.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online