概述

尝试使用联合 ID (SSO) 登录到 Adobe 产品、服务或移动设备应用程序时,收到以下错误消息之一。

Adobe Admin Console 内成功配置 SSO 后,请确保您单击“下载元数据”并将 SAML XML 元数据文件保存到您的计算机。您的身份提供程序需要使用此文件来启用单点登录。您必须将 XML 配置详细信息正确地导入身份提供程序 (IdP)。SAML 与 IdP 的集成需要此信息,并且此信息还将确保数据配置正确。

以下是一些常见的配置问题:

  • 证书采用 PEM 之外的格式。
  • 证书具有 .cer 之外的扩展名。.pem 和 .cert 均不适用。
  • 证书进行了加密。
  • 证书采用单行格式。需要多行。
  • 开启了证书吊销验证(当前不受支持)。
  • SAML 中的 IdP 颁发者与 Admin Console 中指定的颁发者不相同(例如,拼写错误、缺少字符,以及 https 与 http)。

如果您在如何使用 SAML XML 元数据文件配置 IdP 方面存有疑问,请直接访问您的 IdP 以获取相关说明,具体说明因 IdP 而异。

下面列举了一些特定的 IdP(并非全面的列表 - 任何兼容 SAML 2 的 IdP 均适用):

Okta:在 XML 文件内手动获取必需的信息,并将其输入适当的 UI 字段以正确配置数据。

Ping Federate:上载 XML 文件或将数据输入适当的 UI 字段。

Microsoft ADFS:您的证书必须采用 PEM 格式,但是 ADFS 的默认格式为 DER。您可以使用 openssl 命令转换证书,该命令可在 OS X、Windows 或 Linux 上使用,使用方法如下所示:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

在执行以上步骤后,请重命名证书 .cer。

如果您有多个证书,还请确保使用正确的证书;它必须是将用于签名请求的同一证书。(例如,如果使用“令牌签名”证书对请求进行签名,那么该证书就是要使用的证书。)必须关闭证书吊销验证。

如果您已尽自己的最大所能配置了 IdP,请根据收到的错误尝试以下一种或多种解决方法:

下载元数据链接

基本故障诊断

单点登录存在的问题通常是由一些容易被忽视的最基本错误所致。尤其要检查以下各项:

  • 向用户分配的产品配置具有相应权限。
  • 用户的名字、姓氏和电子邮件地址在 SAML 中完全按照它们在企业功能板中显示的方式发送,并且在 SAML 中呈现时具有正确的标签。
  • 检查 Admin Console 和身份提供程序中的所有条目是否存在拼写或语法错误。
  • Creative Cloud 桌面应用程序已更新到最新版本。
  • 用户登录到正确的位置(CC 桌面应用程序、CC 应用程序或 adobe.com)

出现错误“发生错误”并显示标记为“重试”的按钮

发生错误 - 重试

此错误通常发生在用户身份验证成功,并且 Okta 已将身份验证响应成功转发给 Adobe 之后。

Adobe Admin Console 中,验证以下内容:

在“身份”选项卡中:

  • 确保已激活关联的域。

在“产品”选项卡中:

  • 确保用户已关联到正确的产品别名,并且位于您声明配置为联合 ID 的域中。
  • 确保向产品别名分配了正确的权限。

在“用户”选项卡中:

  • 确保用户的用户名采用完整电子邮件地址的形式。

登录时出现错误“访问被拒绝”

“访问被拒绝”错误

导致出现此错误的原因可能包括:

  • 在 SAML 断言中发送的名字、姓氏或电子邮件地址与在 Admin Console 中输入的信息不匹配。
  • 用户没有关联到正确的产品,或者产品没有与正确的权限相关联。
  • SAML 用户名采用了电子邮件地址以外的其他形式。所有用户必须位于您在设置过程中声明的域内。
  • 您的 SSO 客户端在登录过程中使用 Javascript,而您当前尝试登录到不支持 Javascript 的客户端(例如 Creative Cloud Packager)。

解决方法:

  • 验证用户的功能板配置:用户信息和产品配置。
  • 运行 SAML 跟踪并验证所发送的信息是否与功能板匹配,然后更正任何不一致的地方。

错误“另一用户当前已登录”

当在 SAML 断言中发送的属性与用于启动登录过程的电子邮件地址不匹配时,会出现错误“另一用户当前已登录”。

请检查 SAML 断言中的属性,并确保它们精确匹配用户尝试使用的 ID,同时也精确匹配 Admin Console。

错误“无法按照系统原则进行调用”或“用户创建失败”

错误“无法按照系统原则进行调用”(后跟一个任意代码)或“用户创建失败”表示 SAML 属性存在问题。确保属性名称的大小写正确(区分大小写、命名):FirstName、LastName、Email。例如,将最后一个属性写为“email”而不是“Email”会导致出现这些错误。

如果 SAML 断言不包含“主题”>“NameId”元素中的用户电子邮件,也会导致出现这些错误(在使用 SAML Tracer 时,它应采用 emailAddress 格式并将实际电子邮件作为文本值)。 

如果您需要 Adobe 支持团队的帮助,请包含 SAML 跟踪。

 

错误“SAML 响应中的颁发者与为身份提供程序配置的颁发者不匹配”

SAML 断言中的 IDP 颁发者不同于在入站 SAML 中配置的颁发者。查找拼写错误(如 http 与 https)。在通过客户 SAML 系统检查 IDP 颁发者字符串时,您需要查找与他们提供的字符串精确匹配的字符串。有时会因结尾缺少一个斜杠而发生此问题。

如果您需要帮助解决此错误,请提供 SAML 跟踪以及您在 Adobe 功能板中输入的值。

错误“SAML 响应中的数字签名没有使用身份提供程序的证书进行验证”

证书文件很可能不正确,并且需要重新上载。此问题通常发生在进行了更改且管理员引用了错误的证书文件之后。此外,还要检查格式类型(对于 ADFS,需要为 PEM 格式)。

错误“当前时间早于断言条件中指定的时间范围”

基于 Windows 的 IdP 服务器

1. 确保系统时钟与准确的时间服务器同步

使用以下命令针对时间服务器检查系统时钟的准确性;“相位偏移”值应是几分之一秒:

w32tm /query /status /verbose

您可以使用以下命令立即将系统时钟与时间服务器重新同步:

w32tm /resync

如果系统时钟设置正确而您仍看到上述错误,则可能需要调整时间偏差设置以增加服务器和客户端之间时钟差异的容差。

2. 增加各个服务器间系统时钟允许的差值

在具有管理权限的 Powershell 窗口中,将允许的差值设置为 2 分钟。检查您能否登录,然后根据结果增加或减少该值。

使用以下命令确定相关信赖方信任的当前时间偏差设置:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

信赖方信任由 URL 进行标识,该 URL 显示在此特定配置上一个命令输出的“标识符”字段中。在 ADFS 管理实用程序的相关信赖方信任属性窗口中,“标识符”选项卡上的“信赖方信任”字段也会显示此 URL,如下面的屏幕截图所示。

使用以下命令将时间偏差设置为 2 分钟,请相应地替换标识符地址:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

relying_party_identifier

基于 UNIX 的 IdP 服务器

确保使用 ntpd 服务,或者从 root shell 使用 ntpdate 命令或使用 sudo 手动正确设置系统时钟(如下所示)(请注意,如果时间偏差超过 0.5 秒,则系统不会立即进行更改,而是会慢慢更正系统时钟)。确保时区设置也正确无误。

# ntpdate -u pool.ntp.org

SubjectConfirmation 中指定的收件人与我们的服务提供程序实体 ID 不匹配

检查属性,因为它们需要精确匹配以下大小写:FirstName、LastName、Email。此错误消息可能意味着某个属性具有错误的大小写,例如使用“email”而不是“Email”。此外,还要检查收件人值,它应当引用 ACS 字符串。

ACS 字符串

错误 401 未授权的凭据

当应用程序不支持联合登录并且必须以 Adobe ID 登录时,会出现此错误。例如,Framemaker、RoboHelp 和 Captivate 便是具有此要求的应用程序。

错误“入站 SAML 登录失败,并显示消息:‘SAML 响应不包含任何断言’”

检查登录工作流。如果您能够在另一台计算机或另一个网络上访问登录页面,但不能从内部访问,那么此问题可能出自块代理字符串。此外,请运行 SAML 跟踪并确认 SAML 主题中的名字、姓氏和用户名是具有正确格式的电子邮件地址。

错误 400 错误的请求 / 错误“SAML 请求的状态不成功”/ SAML 证书验证失败

错误 400 错误的请求

验证是否正在发送正确的 SAML 断言:

  • 验证身份提供程序在 SAML 断言中传递以下属性(区分大小写):FirstName、LastName、Email。如果这些属性未在 IdP 中配置为在 SAML 2.0 连接器配置过程中发送,则身份验证将不起作用。
  • 主题中没有 NameID 元素。验证主题元素中是否包含 NameId 元素。它必须与 Email 属性相同,而该属性应为要对其进行身份验证的用户的电子邮件地址。
  • 拼写错误,尤其是像 https 与 http 这样容易被忽略的拼写错误。
  • 验证是否提供了正确的证书。IDP 必须配置为使用未压缩的 SAML 请求/响应。Okta 入站 SAML 协议只能处理未压缩的设置(非压缩设置)。

诸如适用于 Firefox 的 SAML Tracer 这样的实用程序可帮助解压缩并显示断言以供检查。如果您需要 Adobe 支持团队的帮助,他们将要求您提供此文件。

以下工作示例可帮助您正确设置 SAML 断言的格式:

下载

对于 Microsoft ADFS:

  1. 每个 Active Directory 帐户都必须拥有一个在 Active Directory 中列出的电子邮件地址才能成功登录(事件日志:SAML 响应在断言中不包含 NameId)。请首先检查这一点。
  2. 访问“功能板”。
  3. 单击“身份”选项卡,然后单击域。
  4. 单击“编辑配置”。
  5. 找到“IDP 绑定”。切换到 HTTP-POST,然后进行保存。 
  6. 重新测试登录体验。
  7. 如果体验正常,但您更喜欢之前的设置,只需切换回 HTTP-REDIRECT 并将元数据重新上载到 ADFS。

对于其他 IdP:

  1. 遇到错误 400 表示您的 IdP 拒绝了成功的登录。
  2. 检查您的 IdP 日志以了解错误的根源。
  3. 更正问题,然后重试。

配置 Microsoft ADFS

请参阅配置 Microsoft ADFS 的分步指南。

如果 Mac 客户端在 Creative Cloud 中具有空白窗口,请确保“Creative Cloud”用户代理受到信任。

配置 Microsoft Azure

请参阅配置 Microsoft Azure 的分步指南。

配置 OneLogin

请参阅配置 OneLogin 的分步指南。

配置 Okta

请参阅配置 Okta 的分步指南。

配置 Centrify

请参阅配置 Centrify 的分步指南。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略