Panoramica

Se si tenta di accedere a prodotti, servizi o applicazioni Adobe per dispositivi mobili con Federated ID (SSO), viene visualizzato uno dei seguenti messaggi di errore.

Dopo aver configurato correttamente l’SSO all’interno della Adobe Admin Console, assicurati di avere fatto clic sul download dei metadati e di avere salvato il file di metadati XML SAML nel computer. Il fornitore di identità richiede che questo file abiliti il single sign-on. È necessario importare correttamente i dettagli di configurazione XML nel tuo fornitore di identità (IdP). Questa procedura è richiesta per l'integrazione SAML nel tuo IdP e garantisce che i dati siano configurati correttamente.

Ecco alcuni dei problemi di configurazione più comuni:

  • Il certificato è in un formato diverso da PEM.
  • Il certificato presenta un’estensione diversa da .cer. .pem e .cer non funziona.
  • Il certificato è crittografato.
  • Il certificato è in formato a riga singola. È necessario un formato a riga multipla.
  • La verifica della revoca del certificato è attivata (al momento non è supportata).
  • L’emittente IdP in SAML non è lo stesso specificato nella Console di amministrazione (ad esempio contiene un errore ortografico, caratteri mancanti, https invece di http).

Se hai domande su come utilizzare il file di metadati XML SAML per configurare il tuo IdP, contatta il tuo IdP direttamente per ricevere istruzioni, poiché esse variano per ciascun IdP.

Alcuni esempi per IdP specifici (l’elenco non è completo; qualsiasi IdP conforme allo standard SAML 2 è idoneo):

Okta: annota manualmente le informazioni necessarie all'interno del file XML e immettile nei campi adeguati dell’interfaccia utente per configurare correttamente i dati.

Ping Federate: carica il file XML o immetti i dati nei campi appropriati dell’interfaccia utente.

Microsoft ADFS: il certificato deve essere in formato PEM, ma il valore predefinito per ADFS è DER. Puoi convertire il certificato con il comando openssl, disponibile su OS X, Windows o Linux, come indicato di seguito:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Dopo l'esecuzione dell’operazione sopra illustrata, rinomina il certificato .cer.

Accertati inoltre che venga utilizzato il certificato corretto se ne è presente più di uno; deve corrispondere a quello che verrà utilizzato per firmare le richieste. (Ad esempio, se il certificato di “firma del token” firma le richieste, quello è il certificato da utilizzare.) La verifica della revoca dei certificati deve essere disattivata.

Se hai configurato il tuo IdP al meglio in base alla tua esperienza, prova una o più delle seguenti operazioni a seconda dell’errore ricevuto.

Collegamento di download dei metadati

Risoluzione dei problemi di base

I problemi relativi al single sign-on sono spesso causati da errori molto semplici che sono facili da ignorare. In particolare, effettua i seguenti controlli:

  • L’utente è assegnato a una configurazione del prodotto con un’autorizzazione.
  • Il nome, il cognome e l’indirizzo e-mail dell’utente vengono inviati a SAML esattamente come sono visualizzati nell’Enterprise Dashboard e sono presenti in SAML con l’etichetta corretta.
  • Controlla tutte le voci nella Console di amministrazione e il tuo fornitore di identità per verificare che non ci siano errori di sintassi o di ortografia.
  • L’applicazione Creative Cloud per desktop è stata aggiornata alla versione più recente.
  • L’utente effettua l’accesso nel luogo appropriato (applicazione CC Desktop, applicazione CC o adobe.com)

Errore “Si è verificato un errore” con il pulsante “Riprova”

Si è verificato un errore - RIPROVA

Questo errore si verifica di solito quando l’autenticazione dell’utente è andata a buon fine e Okta ha inoltrato la risposta correttamente ad Adobe.

Nella Adobe Admin Console, convalida i seguenti elementi:

Nella scheda Identità:

  • Accertati che il dominio collegato sia stato attivato.

Nella scheda Prodotti:

  • Assicurati che l’utente sia associato al nickname del prodotto corretto e nel dominio richiesto configurato come Federated ID.
  • Accertati che il nickname del prodotto disponga delle assegnazioni corrette.

Nella scheda Utenti:

  • Accertati che il nome dell’utente sia rappresentato da un indirizzo e-mail completo.

Errore “Accesso negato” all’accesso

Errore di Accesso negato

Le possibili cause dell’errore:

  • Il nome, il cognome e l’indirizzo e-mail che inviato nell’asserzione SAML non corrisponde alle informazioni specificate nella Console di amministrazione.
  • L’utente non è associato al prodotto giusto o il prodotto non è associato all’autorizzazione corretta.
  • Il nome utente SAML è diverso dall’indirizzo e-mail. Tutti gli utenti devono trovarsi nel dominio richiesto nell’ambito del processo di installazione.
  • Il client di SSO utilizza Javascript nell’ambito della procedura di accesso e stai tentando di accedere a un client che non supporta Javascript (ad esempio, Creative Cloud Packager).

Per risolvere:

  • Verifica la configurazione del dashboard per l’utente: informazioni dell’utente e configurazione prodotto.
  • Esegui una traccia SAML e verifica che le informazioni in fase di invio corrispondano al dashboard, quindi correggi eventuali incoerenze.

Errore “Un altro utente è attualmente connesso”

L’errore “Un altro utente è attualmente connesso” si verifica quando gli attributi inviati nell’asserzione SAML non corrispondono all’indirizzo e-mail utilizzato per avviare la procedura di accesso.

Verifica gli attributi nell’asserzione SAML e assicurati che corrispondano esattamente sia all’ID che l’utente sta tentando di usare, sia alla Console di amministrazione.

Errore “Impossibile effettuare una chiamata come principio di sistema” o “Creazione utente non riuscita”

L’errore “Impossibile effettuare una chiamata come principio di sistema” (seguito da un codice casuale) o “Creazione utente non riuscita” indica un problema relativo agli attributi SAML. Accertati che i nomi degli attributi siano scritti correttamente (maiuscole/minuscole, assegnazione dei nomi): Nome, Cognome, E-mail. Ad esempio, questi errori possono verificarsi se l'attributo termina con “e-mail” invece di “E-mail”.

Inoltre, questi errori si verificano anche se l’asserzione SAML non contiene l’indirizzo e-mail dell’utente nell’elemento Oggetto > NameId > (se utilizzi SAML Tracer, esso deve avere il formato emailAddress e l’e-mail effettiva come testo come valore).  

Se hai bisogno di assistenza da Adobe, includi una traccia SAML.

 

Errore: “L’Emittente nella risposta SAML non corrispondeva all’emittente configurato per il fornitore di identità”

L’emittente IDP nell’asserzione SAML è diverso da quello che è stato configurato nel SAML in entrata. Individua gli errori di ortografia (come http invece di https). Nel controllare la stringa dell’emittente IDP con il sistema SAML del cliente, cerca una corrispondenza ESATTA con la stringa fornita. Questo problema a volte si verifica perché manca una barra alla fine.

Se hai bisogno di assistenza per questo errore, fornisci una traccia SAML e i valori immessi nel dashboard di Adobe.

Errore “La firma digitale nella risposta SAML non è stata convalida con il certificato del fornitore di identità”

Il file del certificato probabilmente non è corretto e deve essere caricato nuovamente. Questo problema si verifica in genere dopo che è stata apportata una modifica e che l’amministratore fa riferimento al file cert non corretto. Inoltre, verifica il tipo di formato (deve essere in formato PEM per ADFS).

Errore “L’ora corrente è prima dell’intervallo di tempo specificato nelle condizioni dell’asserzione”

Server IdP basato su Windows:

1. Assicurati che l’orologio di sistema sia sincronizzato con un server di riferimento ora preciso

Confronta l’orologio di sistema di precisione con il server di riferimento ora con questo comando; il valore “Differenza fase” dovrebbe essere una piccola frazione di secondo:

w32tm /query /status /verbose

È possibile effettuare una risincronizzazione immediata dell’orologio di sistema con il server di riferimento ora con il seguente comando:

w32tm /resync

Se l’orologio di sistema è impostato correttamente e continua a essere visualizzato l’errore riportato sopra, potrebbe essere necessario regolare l’impostazione di sfasamento orario per aumentare la tolleranza della differenza tra gli orologi tra server e client.

2. Aumenta la differenza consentita nell’orologio di sistema tra i server

Da una finestra Powershell con diritti di amministratore, imposta il valore di sfasamento consentito su 2 minuti. Verifica se riesci a connetterti, quindi aumenta o diminuisci il valore in base al risultato.

Determina l’impostazione di sfasamento corrente per l’attendibilità componente pertinente con il seguente comando:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

L’attendibilità componente è identificata dall’URL mostrato nel campo “Identificatore” dell’output del comando precedente per quella particolare configurazione. Questo URL viene visualizzato anche nell’utilità di gestione di ADFS nella finestra delle proprietà per l’attendibilità componente pertinente nella scheda “Identificatori” nel campo “Attendibilità componente”, come mostrato nello screenshot riportato di seguito.

Imposta lo sfasamento orario su 2 minuti con il seguente comando, sostituendo di conseguenza l’indirizzo dell’Identificatore:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

relying_party_identifier

Server IdP basato su UNIX

Assicurati che l’orologio di sistema sia impostato correttamente utilizzando il servizio ntpd, manualmente con il comando ntpdate da una shell di root o con sudo come mostrato di seguito (se l’intervallo di tempo è superiore a 0,5 secondi, la modifica non avrà effetto immediato, ma regolerà gradualmente l’orologio di sistema). Assicurati che anche il fuso orario sia impostato correttamente.

# ntpdate -u pool.ntp.org

Il destinatario specificato in SubjectConfirmation non corrisponde all’id dell’entità del fornitore di servizi

Controlla gli attributi, poiché devono corrispondere esattamente ai seguenti valori: Nome, Cognome, E-mail. Questo messaggio di errore può significare che uno degli attributi presenta un errore di maiuscole/minuscole, ad esempio “e-mail” invece di “E-mail”. Verifica inoltre che il valore del destinatario faccia riferimento alla stringa ACS.

Stringa ACS

Errore 401 - credenziali non autorizzate

Questo errore si verifica quando l’applicazione non supporta l’accesso Federated e deve avere eseguito l’accesso come Adobe ID. Framemaker, RoboHelp e Captivate sono esempi di applicazioni con questo requisito.

Errore “Accesso SAML in entrata non riuscito con messaggio: La risposta SAML non conteneva asserzioni”

Controlla il flusso di lavoro di accesso. Se puoi accedere alla pagina di accesso su un altro computer o un’altra rete, ma non internamente, il problema può essere una stringa agente di blocco. Inoltre, esegui una traccia SAML e conferma che Nome, Cognome e Nome utente come indirizzo e-mail con corretta formattazione si trovino dell’oggetto SAML.

Errore 400 richiesta non valida / Errore “Lo stato della richiesta SAML non è andato a buon fine” / Convalida della certificazione SAML non riuscita

Errore 400 richiesta non valida

Verifica che venga inviata l’asserzione SAML corretta:

  • Verifica che il fornitore di identità passi i seguenti attributi (con distinzione di maiuscole e minuscole) nell’asserzione SAML: Nome, Cognome, E-mail. Se questi attributi non sono configurati nell’IdP per essere inviati nell’ambito della configurazione del connettore SAML 2.0, l’autenticazione non funziona.
  • L’elemento NameID non è presente nell’oggetto. Verifica che l’elemento Oggetto contenga un elemento NameId. Deve essere uguale all’attributo E-mail, che deve corrispondere all’indirizzo e-mail dell’utente che desideri autenticare.
  • Errori ortografici, in particolare quelli non facili da individuare, ad esempio https invece di http.
  • Verifica che sia stato fornito il certificato corretto. È necessario configurare gli IDP per utilizzare le richieste/risposte SAML non compresse. Il protocollo SAML in entrata Okta funziona solo con le impostazioni non compresse (impostazioni non compresse).

Un’utilità quale SAML Tracer per Firefox può contribuire a spacchettare l’asserzione e a visualizzarla per l’ispezione. Se hai bisogno di assistenza da Adobe, ti verrò richiesto questo file. 

Il seguente esempio pratico può aiutare a formattare correttamente l’asserzione SAML:

Scarica

Con Microsoft ADFS:

  1. Ogni account di Active Directory deve avere un indirizzo e-mail elencato in Active Directory per poter accedere correttamente (registro eventi: La risposta SAML non dispone di NameId nell’asserzione). Prima verifica questo.
  2. Accedi al dashboard
  3. Fai clic sulla scheda Identità e sul dominio.
  4. Fai clic su Modifica Configurazione.
  5. Individua il Binding IDP. Passa a HTTP-POST, quindi salva. 
  6. Tenta nuovamente l’accesso.
  7. Se funziona ma preferisci l'impostazione precedente, è sufficiente passare di nuovo a HTTP-REDIRECT e ricaricare i metadati in ADFS.

Con altri IdP:

  1. Se si verifica l’errore 400, l’accesso è stato rifiutato dal tuo IdP.
  2. Per individuare l’origine dell’errore, verifica i registri IdP.
  3. Correggi il problema e riprova.

Configurazione di Microsoft ADFS

Consulta la guida passo passo per la configurazione di Microsoft ADFS.

Se un client Mac presenta una finestra vuota in Creative Cloud, assicurati che l’agente dell’utente “Creative Cloud” sia affidabile.

Configurazione di Microsoft Azure

Consulta la guida passo passo per la configurazione di Microsoft Azure.

Configurazione di OneLogin

Consulta la guida passo passo per la configurazione di OneLogin.

Configurazione di Okta

Consulta la guida passo passo per la configurazione di Okta.

Configurazione di Centrify

Consulta la guida passo passo per la configurazione di Centrify.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online