在 Admin Console 上,导航至设置 > 身份 >(目录名称)> 身份验证
。
上次更新日期:
2024年8月19日
如果您已使用 Adobe Admin Console 为您的身份提供程序 (IdP) 设置了 SSO,并且您的最终用户无法登录其 Adobe 应用程序和服务,则 SAML 证书可能已过期。
问题
您遇到了以下某个问题:
- 最终用户注销后无法登录到 Adobe Creative Cloud Web、移动或桌面应用程序。
- 在最终用户尝试登录时,他们看到如下错误消息:
- SAML 认证验证失败。
- SAML 响应中的数字签名未使用身份提供商的证书进行验证。
- 管理员无法添加/删除/管理用户或产品配置文件。
- 管理员要续订您的 SAML 证书,因为它即将到期。
原因
在 SAML 交换中,涉及的两个实体是:
- 身份提供商 (IdP)
客户在其自身的 IdP(ADFS、OKTA、Shiboleth)内拥有和管理 IdP 证书,并将其上传到 Admin Console 中。 - Adobe,充当服务提供商 (SP)
在 Admin Console 中管理 Adobe 实体,并将其上传到客户的 IdP。
两个实体都有其各自的证书,这些证书用于建立信任。
如果您用 Adobe Admin Console 为您的身份提供商 (IdP) 设置 SSO 后您的最终用户无法登录到其 Adobe 应用程序和服务,则 SAML 证书可能已到期。
Admin Console 通知
将 Adobe 生成的证书设置为到期或其已到期时,Adobe 将通过 Admin Console 中的横幅通知以及每个目录的状态更新通知您。要查看 SAML 证书的状态,请导航至设置 > 身份设置,并查看“目录”选项卡的“状态”列。
解决方法
SAML 设置
如果您的证书已过期或即将过期,您可以通过 Admin Console 直接更新联合设置。SAML 证书与 SAML 设置一起更新。
注意:
如果您的 IdP 不检查证书的有效性,则无需执行任何操作。
系统管理员可遵照以下这些步骤,直接从 Admin Console 更新和管理自签名证书:
-
-
单击编辑,然后单击下一步。
-
查看可用的证书及其状态。您可以选择生成新的证书或新的证书签名请求。
注意:自签名证书更方便,并且符合安全最佳实践。建议选择自签名证书,除非自签名证书无法满足您组织的特定要求。
-
单击生成新证书。
随后将在所选的联合目录中为在用的 SAML 配置生成一个新的 SAML 证书。
-
创建新的签名请求。
单击创建证书签名请求。
在随后显示的对话框中,输入从您的证书颁发机构 (CA) 获得的以下详细信息:- 输入从您的证书颁发机构获得的详细信息。
- 在选择创建新的签名请求时,您必须用您的证书颁发机构 (CA) 完成该过程,以使其与 SAML 证书一起生效。
- 转到“操作”并单击完成。
- 上传从证书颁发机构获得的证书文件并单击完成,然后单击完成。
成功创建证书后,即可执行其他操作,包括设置为默认、激活、停用、下载元数据、下载证书和删除。
如果您的 IdP 支持多个证书,则遵循以下步骤即不会产生任何登录中断的情况。
-
除了旧证书之外,还将新证书上传到您的 IdP 中。
-
在 Adobe Admin Console 中将新证书设置为默认证书。
-
测试登录。
-
从 IdP 配置中删除旧证书。
-
禁用/删除旧证书。
注意:
建议禁用,因为删除是不可逆的操作。
如果您的 IdP 不支持多个证书,则您应挑选一个停机时间间隔以执行续订:
-
将新证书上传到您的 IdP 中。
-
在 Adobe Admin Console 中将新证书设置为默认证书。
-
测试登录。
-
禁用旧证书。
-
如果您未遇到任何问题,请删除旧证书。
注意:
建议您先等待一段时间,然后再删除旧证书,因为删除证书是不可逆的操作。
审核日志
可在审核日志中找到关于创建和管理证书所执行的操作。
要查看审核日志,请转至 Admin Console,并导航至 Insights > 日志 > 审核日志。
