用户指南 取消(C)

解决 Federated ID(SSO)登录错误

搜索
Enterprise

Enterprise

Admin Console
  1. Adobe 企业版和团队版:管理指南
  2. 规划您的部署
    1. 基本概念
      1. 许可
      2. 身份
      3. 用户管理
      4. 应用程序部署
      5. Admin Console 概述
      6. 管理角色
    2. 部署指南
      1. 指定用户部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署 Creative Cloud 教育版
      1. 部署主页
      2. K-12 加入向导
      3. 简单设置
      4. 同步用户
      5. 名册同步 K-12(美国)
      6. 关键授予许可概念
      7. 部署选项
      8. 快速提示
      9. 在 Google Admin Console 中审批 Adobe 应用程序
      10. 在 Google 课堂中启用 Adobe Express
      11. 与 Canvas LMS 集成
      12. 与 Blackboard Learn 集成
      13. 为学区门户网站和 LMS 配置 SSO
      14. 通过名册同步功能添加用户
      15. Kivuto 常见问题解答
      16. 主要和次要机构资格准则
  3. 设置您的组织
    1. 身份类型 | 概述
    2. 设置身份 | 概述
    3. 使用 Enterprise ID 设置组织
    4. 设置 Azure AD 联合和同步
      1. 通过 Azure OIDC 用 Microsoft 设置 SSO
      2. 将 Azure Sync 添加到您的目录
      3. 用于教育机构的角色同步
      4. Azure 连接器常见问题解答
    5. 设置 Google 联合身份验证和同步
      1. 用 Google 联合身份验证设置 SSO
      2. 将 Google Sync 添加到您的目录
      3. Google 联合身份验证常见问题解答
    6. 通过 Microsoft ADFS 设置组织
    7. 为区域门户网站和 LMS 建立组织
    8. 通过其他身份提供商设置组织
      1. 创建目录
      2. 验证域的所有权
      3. 将域添加到目录
    9. SSO 常见问题和故障排除
      1. SSO 常见问题
      2. SSO 故障排除
      3. 教育常见问题
  4. 管理您的组织设置
    1. 管理现有域和目录
    2. 启用自动创建帐户
    3. 通过目录信任设置组织
    4. 迁移到新的身份验证提供商 
    5. 资源设置
    6. 身份验证设置
    7. 隐私和安全联系人
    8. 控制台设置
    9. 管理加密  
  5. 管理用户
    1. 概述
    2. 管理角色
    3. 用户管理策略
      1. 逐个管理用户   
      2. 管理多个用户(批量 CSV)
      3. 用户同步工具 (UST)
      4. Microsoft Azure Sync
      5. Google 联合身份验证同步
    4. 向团队版用户分配许可证
    5. 适用于团队的应用程序内用户管理
      1. 在 Adobe Express 中管理您的团队
      2. 在 Adobe Acrobat 中管理您的团队
    6. 添加具有匹配电子邮件域的用户
    7. 更改用户的身份类型
    8. 管理用户组
    9. 管理目录用户
    10. 管理开发人员
    11. 将现有用户迁移至 Adobe Admin Console
    12. 将用户管理迁移至 Adobe Admin Console
  6. 管理产品和权利
    1. 管理产品和产品配置文件
      1. 管理产品
      2. 购买产品和许可证
      3. 管理企业用户的产品配置文件
      4. 管理自动分配规则
      5. 授权用户训练 Firefly 自定义模型
      6. 审查产品请求
      7. 管理自助服务策略
      8. 管理应用程序集成
      9. 在 Admin Console 中管理产品权限  
      10. 为产品配置文件启用/禁用服务
      11. 单个应用程序 | Creative Cloud 企业版
      12. 可选服务
    2. 管理共享设备许可证
      1. 新增功能
      2. 部署指南
      3. 创建包
      4. 恢复许可证
      5. 管理配置文件
      6. 许可工具包
      7. 共享设备许可常见问题解答
  7. 开始使用 Global Admin Console
    1. 采用全局管理
    2. 选择您的组织
    3. 管理组织层次结构
    4. 管理产品配置文件
    5. 管理管理员
    6. 管理用户组
    7. 更新组织策略
    8. 管理策略模板
    9. 将产品分配给子组织
    10. 执行待处理的作业
    11. 探索见解
    12. 导出或导入组织结构
  8. 管理存储和资源
    1. 存储
      1. 管理企业存储
      2. Adobe Creative Cloud:有关存储的更新
      3. 管理 Adobe 存储空间
    2. 资源迁移
      1. 自动化资源迁移
      2. 自动化资源迁移常见问题解答  
      3. 管理转移的资源
    3. 从用户回收资源
    4. 学生资源迁移 | 仅限教育界
      1. 自动学生资源迁移
      2. 迁移您的资源
  9. 托管服务
    1. Adobe Stock
      1. 适用于团队的 Adobe Stock 积分包
      2. Adobe Stock 企业版
      3. 使用 Adobe Stock 企业版
      4. Adobe Stock 许可证批准
    2. 自定义字体
    3. Adobe Asset Link
      1. 概述
      2. 创建用户组
      3. 配置 Adobe Experience Manager Assets
      4. 配置和安装 Adobe Asset Link
      5. 管理资源
      6. Adobe Asset Link for XD
    4. Adobe Acrobat Sign
      1. 设置 Adobe Acrobat Sign 企业版或团队版
      2. Adobe Acrobat Sign - 团队版功能管理员
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. Creative Cloud 企业版 - 免费会员资格
      1. 概述
  10. 部署应用程序和更新
    1. 概述
      1. 部署并交付应用程序和更新
      2. 计划部署
      3. 准备部署
    2. 创建包
      1. 通过 Admin Console 打包应用程序
      2. 创建指定用户许可包
      3. 管理预生成包
        1. 管理 Adobe 模板
        2. 管理单个应用程序包
      4. 管理包
      5. 管理设备许可证
      6. 序列号许可
    3. 自定义程序包
      1. 自定义 Creative Cloud 桌面应用程序
      2. 在您的程序包中包含扩展
    4. 部署包 
      1. 部署包
      2. 使用 Microsoft Intune 部署 Adobe 包
      3. 使用 SCCM 部署 Adobe 包
      4. 使用 ARD 部署 Adobe 包
      5. 在 Exceptions 文件夹中安装产品
      6. 卸载 Creative Cloud 产品
      7. 使用 Adobe Provisioning Toolkit Enterprise Edition
    5. 管理更新
      1. 改变 Adobe 企业和团队客户的管理工作
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 概述
      2. 设置内部更新服务器
      3. 维护内部更新服务器
      4. AUSST 的常见用例   
      5. 内部更新服务器故障排除
    7. Adobe Remote Update Manager (RUM)
      1. 发行说明
      2. 使用 Adobe Remote Update Manager
    8. 疑难解答
      1. 纠正 Creative Cloud 应用程序安装和卸载错误
      2. 查询客户端计算机,检查是否已部署某一程序包
  11. 管理您的团队帐户
    1. 概述
    2. 更新付款详细信息
    3. 管理账单
    4. 更改合同负责人
    5. 更改您的计划
    6. 更改经销商
    7. 取消您的计划
    8. 购买请求合规性
  12. 续订
    1. 团队会员资格:续订
    2. VIP 企业:续订和合规性
  13. 管理合同
    1. ETLA 合约的自动到期阶段
    2. 在现有 Adobe Admin Console 中切换合同类型
    3. 中国版 Value Incentive Plan (VIP)
    4. VIP Select 帮助
  14. 报告和日志
    1. 审核日志
    2. 分配报告
    3. 内容日志
  15. 获取帮助
    1. 联系 Adobe 客户关怀部门
    2. 团队帐户的支持选项
    3. 企业帐户的支持选项
    4. Experience Cloud 的支持选项

解决常见的身份验证错误、验证配置并排除与 Adobe 产品中的 Federated ID(SSO)相关的登录问题。获取修复 SAML 错误、证书问题和其他身份验证挑战的提示。

注意:

如果您的组织已通过 Google Federation 或 Microsoft Azure Sync 设置 SSO,请参阅以下文章:

概述

Adobe Admin Console 中成功配置 SSO 之后,确保选择了“下载 Adobe 元数据文件”并已将 SAML XML 元数据文件保存到计算机。身份提供者需要此文件以启用单点登录。将 XML 配置详细信息正确导入到身份提供者 (IdP)。将 SAML 与您的 IdP 集成需要这样做,并且这样做将确保正确地配置数据。

如果对于如何使用 SAML XML 元数据文件配置 IdP 有疑问,请直接向 IdP 索取说明,具体说明因 IdP 而异。

下载 Adobe 元数据文件

基本故障排除

单点登录问题往往是由容易忽视的基本错误造成的。具体而言,请确认以下各项:

  • 将用户分配给具有权利的产品配置文件。
  • 发送到 SAML 的用户名与企业仪表板中的用户名相同。
  • 检查 Admin Console 和身份提供者中的所有条目是否存在拼写或语法错误。
  • Creative Cloud 桌面应用程序已更新到最新版本。
  • 用户登录到正确的位置(Creative Cloud 桌面应用程序、Creative Cloud 应用程序或 Adobe.com

其他常见错误的解决方法

错误:标有“重试”的按钮“发生错误”

一般在用户身份验证已成功并且 Okta 已成功地将身份验证响应转发到 Adobe 之后发生此错误。

Adobe Admin Console 中验证以下各项:

在“身份”选项卡上:

  • 确保已激活关联的域。

在“产品”选项卡上:

  • 确保用户与正确的产品昵称关联,并处于您声明要配置为 Federated ID 的域中。
  • 确保为产品昵称分配了正确的权利。

在“用户”选项卡上:

  • 确保用户的用户名采用完整的电子邮件地址的形式。

错误:登录时出现“访问被拒绝”

可能导致此错误的原因:

  • 在 SAML 断言中发送的用户名或电子邮件地址与在 Admin Console 中输入的信息不同。
  • 用户没有与正确的产品相关联,或者产品没有与正确的权限相关联。
  • SAML 用户名未采用电子邮件地址的形式。所有用户都必须位于您在设置过程中声明的域中。
  • 您的 SSO 客户端使用 JavaScript 作为登录过程的一部分,而您正在尝试登录到不支持 JavaScript 的客户端。

解决方法:

  • 检查 Adobe Admin Console 中的用户名和电子邮件,并将该值与 SAML 日志中的 NameID 和 Email 属性进行匹配。
  • 验证用户的仪表板配置:用户信息和产品配置文件。
  • 运行 SAML 跟踪并验证所发送的信息与仪表板上的相同,然后更正任何不一致的情况。

错误:“当前有另一用户正在登录”

当在 SAML 断言中发送的属性与用于开始登录过程的电子邮件地址不匹配时,就会出现“当前有另一用户正在登录”错误。

运行 SAML 跟踪确保用户要登录的电子邮件地址与以下各项相同:

  • 用户在 Admin Console 中列出的电子邮件地址
  • 用户在 SAML 断言的 NameID 字段中传回的用户名

错误:“SAML 响应中的发行者与为身份提供者配置的发行者不匹配”

SAML 断言中的 IDP 颁发者与在入站 SAML 中配置的不同。查找拼写错误(如 http 与 https)。向客户 SAML 系统核实 IDP 颁发者字符串时,您要查找与其提供的字符串完全相同的字符串。有时因结尾缺少斜线而发生此问题。

如果您需要帮助纠正此错误,请提供一个 SAML 跟踪和您在 Adobe 仪表板中输入的值。

错误:“SAML 响应中的数字签名未使用身份提供者的证书进行验证”

当您目录的证书已到期时发生此问题。要更新证书,您必须从身份提供者下载证书或元数据,然后在 Adobe Admin Console 中将其上传。

例如,如果您的 IdP 是 Microsoft AD FS,请按照以下步骤操作:

  1. 打开服务器上的“AD FS 管理”应用程序,然后在“AD FS”>“服务”>“端点”文件夹中选择“联合元数据”

  2. 使用浏览器导航到针对联合元数据提供的 URL 并下载文件。例如 https://<您的 AD FS 主机名>/FederationMetadata/2007-06/FederationMetadata.xml。

    注意:

    如果出现提示,请接受任何警告。

  3. Admin Console设置选项卡上,导航到身份设置目录。选择要更新的目录,并在“SAML 提供者”卡片上单击“配置”

    然后,上传 IdP 元数据文件并单击“保存”

错误:“当前时间比在断言条件中指定的时间范围早”

基于 Windows 的 IdP 服务器:

1. 确保系统时钟与准确的时间服务器同步。

用此命令对照时间服务器检查系统时钟的准确性,“相位偏移”值应远低于一秒:

w32tm /query /status /verbose

可使用以下命令让系统时钟立即与时间服务器重新同步:

w32tm /resync

如果正确设置了系统时钟,但仍看到上述错误,则可能需要调整时间偏差设置,以提高服务器时钟与客户端时钟之差的容忍度。

2. 提高允许服务器之间系统时钟存在的差异。

从具有管理权限的 Powershell 窗口中,将允许的偏差值设置为 2 分钟。检查能否登录,然后根据结果增大或减小该值。

用以下命令确定相关信赖方信任的当前时间偏差设置:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

对该特定配置执行的前一命令所得输出的“Identifier”字段中显示的 URL 标识该信赖方信任。此 URL 还显示在相关信赖方信任在“ADFS 管理”实用程序的属性窗口中“标识符”选项卡上的“信赖方信任”字段中,如下方的屏幕快照所示。

用以下命令将时间偏差设置为 2 分钟,其中相应地替换标识符地址:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

基于 UNIX 的 IdP 服务器

确保使用 ntpd 服务正确设置了系统时钟,或者从 root shell 中或执行 sudo 后使用 ntpdate 命令手动正确设置了系统时钟,如下所示(注意:如果时间偏移超过 0.5 秒,则更改不会立即发生,但它将慢慢地更正系统时钟)。确保还正确设置了时区。

# ntpdate -u pool.ntp.org

注意:

此命令适用于 Shibboleth 等身份提供者。

错误:401 未经授权的凭据

当应用程序不支持联合登录,因而必须作为 Adobe ID 登录到应用程序时发生此错误。FrameMaker、RoboHelp 和 Adobe Captivate 是具有此要求的应用程序的示例。

错误:“入站 SAML 登录失败并显示消息:SAML 响应不包含任何断言”

检查登录工作流程。如果可在另一计算机或网络上访问登录页面,但无法在内部访问,则问题可能出在代理字符串被阻止。此外,还要运行 SAML 跟踪,并确认 SAML 使用者中以名字、姓氏和用户名作为正确格式的电子邮件地址。

错误:“400 错误的请求”或“SAML 请求的状态为不成功”或“SAML 证书验证失败”

验证正在发送正确的 SAML 断言:

  • 使用者中无 NameID 元素。验证 Subject 元素包含 NameId 元素。它必须与 Email 属性相等,后者应为要验证其身份的用户的电子邮件地址。
  • 拼写错误,特别是容易被忽视的拼写错误,例如 https 与 http。
  • 验证已提供的证书正确无误。必须将 IDP 配置为使用未压缩的 SAML 请求/响应。

适用于 Firefox 的 SAML 跟踪器可帮助将断言解压缩并显示它以供检查。如果需要 Adobe 客户关怀部门的帮助,我们将要求您提供此文件。有关详细信息,请参阅如何执行 SAML 跟踪

以下可行示例可帮助正确地为您的 SAML 断言设置格式:

下载

获取文件
SAML 可行示例

用于 Microsoft ADFS:

  1. 每个 Active Directory 帐户都必须具有在 Active Directory 中列出的电子邮件地址才能成功登录(事件日志:SAML 响应在断言中无 NameId)。首先检查此项。
  2. 访问仪表板
  3. 单击“身份”选项卡和域。
  4. 单击“编辑配置”。
  5. 找到“IDP 绑定”。切换到“HTTP-POST”,然后保存。 
  6. 重新测试登录体验。
  7. 如果可行但您更喜欢以前的设置,只需切换回 HTTP-REDIRECT 并将元数据重新上传到 ADFS 中即可。

用于其他 IdP:

  1. 遇到错误 400 表示您的 IdP 拒绝了一个成功的登录。
  2. 请在 IdP 日志中寻找该错误的来源。
  3. 纠正问题,然后重试。

错误:“403 证书故障”

在 Adobe SAML 应用程序下的 Google Console 中更新证书,并 在 Adobe Admin Console 中重新上传元数据文件

错误:“403 应用程序未针对用户配置”

在 Google Console 中更新 Entity ID。然后导出元数据文件并 将其上传到 Adobe Admin Console。

错误:“您现在无法访问”或“您无法从这里到达那里”

当组织在 IdP 中启用了条件访问策略时,通常会发生此错误。

如果您使用托管包部署产品,请 通过选择基于浏览器的身份验证选项从 Adobe Admin Console 创建托管包。然后,将其部署到用户的设备上。

如果没有,用户可以打开 Creative Cloud 桌面应用程序,然后从 帮助 菜单中选择 使用浏览器登录

错误:“应用程序未分配”

在这种情况下,管理员必须将用户添加到其 IdP 上创建的 Adobe SAML 应用程序中。了解如何在 Google Admin consoleMicrosoft Azure Portal上创建 Adobe SAML 应用。

错误:“您不具备对此项服务的访问权限。联系您的 IT 管理员以获取访问权限或使用 Adobe ID 登录

检查 SAML 日志,因为 SAML 断言中发送的用户名或电子邮件地址与 Admin Console 输入的信息不匹配。

更快、更轻松地获得帮助

新用户?

快速链接

查看您的所有计划 管理您的计划
查看快速链接
隐藏快速链接

法律声明    |    在线隐私政策