概述

尝试使用联合 ID (SSO) 登录到 Adobe 产品、服务或移动设备应用程序时,收到以下错误消息之一。

Adobe 管理控制台内成功配置 SSO 后,请确保您单击“下载元数据”并将 SAML XML 元数据文件保存到您的计算机。您的身份提供程序需要使用此文件来启用单点登录。您必须将 XML 配置详细信息正确地导入身份提供程序 (IdP)。SAML 与 IdP 的集成需要此信息,并且此信息还将确保数据配置正确。

以下是一些常见的配置问题:

  • 证书采用 PEM 之外的格式。
  • 证书具有 .cer 之外的扩展名。.pem 和 .cert 均不适用。
  • 证书进行了加密。
  • 证书采用单行格式。需要多行。
  • 开启了证书吊销验证(当前不受支持)。
  • SAML 中的 IdP 颁发者与管理控制台中指定的颁发者不相同(例如,拼写错误、缺少字符,以及 https 与 http)。

如果您在如何使用 SAML XML 元数据文件配置 IdP 方面存有疑问,请直接访问您的 IdP 以获取相关说明,具体说明因 IdP 而异。

下面列举了一些特定的 IdP(并非全面的列表 - 任何兼容 SAML 2 的 IdP 均适用):

Okta:在 XML 文件内手动获取必需的信息,并将其输入适当的 UI 字段以正确配置数据。

Ping Federate:上载 XML 文件或将数据输入适当的 UI 字段。

Microsoft ADFS:您的证书必须采用 PEM 格式,但是 ADFS 的默认格式为 DER。您可以使用 openssl 命令转换证书,该命令可在 OS X、Windows 或 Linux 上使用,使用方法如下所示:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

在执行以上步骤后,请重命名证书 .cer。

如果您有多个证书,还请确保使用正确的证书;它必须是将用于签名请求的同一证书。(例如,如果使用“令牌签名”证书对请求进行签名,那么该证书就是要使用的证书。)必须关闭证书吊销验证。

如果您已尽自己的最大所能配置了 IdP,请根据收到的错误尝试以下一种或多种解决方法:

下载元数据链接

基本故障诊断

单点登录存在的问题通常是由一些容易被忽视的最基本错误所致。尤其要检查以下各项:

  • 向用户分配的产品配置具有相应权限。
  • 用户的名字、姓氏和电子邮件地址在 SAML 中完全按照它们在企业功能板中显示的方式发送,并且在 SAML 中呈现时具有正确的标签。
  • 检查管理控制台和身份提供程序中的所有条目是否存在拼写或语法错误。
  • Creative Cloud 桌面应用程序已更新到最新版本。
  • 用户登录到正确的位置(CC 桌面应用程序、CC 应用程序或 adobe.com)

出现错误“发生错误”并显示标记为“重试”的按钮

发生错误 - 重试

此错误通常发生在用户身份验证成功,并且 Okta 已将身份验证响应成功转发给 Adobe 之后。

Adobe 管理控制台中,验证以下内容:

在“身份”选项卡中:

  • 确保已激活关联的域。

在“产品”选项卡中:

  • 确保用户已关联到正确的产品别名,并且位于您声明配置为联合 ID 的域中。
  • 确保向产品别名分配了正确的权限。

在“用户”选项卡中:

  • 确保用户的用户名采用完整电子邮件地址的形式。

登录时出现错误“访问被拒绝”

“访问被拒绝”错误

导致出现此错误的原因可能包括:

  • 在 SAML 断言中发送的名字、姓氏或电子邮件地址与在管理控制台中输入的信息不匹配。
  • 用户没有关联到正确的产品,或者产品没有与正确的权限相关联。
  • SAML 用户名采用了电子邮件地址以外的其他形式。所有用户必须位于您在设置过程中声明的域内。
  • 您的 SSO 客户端在登录过程中使用 Javascript,而您当前尝试登录到不支持 Javascript 的客户端(例如 Creative Cloud Packager)。

解决方法:

  • 验证用户的功能板配置:用户信息和产品配置。
  • 运行 SAML 跟踪并验证所发送的信息是否与功能板匹配,然后更正任何不一致的地方。

错误“另一用户当前已登录”

当在 SAML 断言中发送的属性与用于启动登录过程的电子邮件地址不匹配时,会出现错误“另一用户当前已登录”。

请检查 SAML 断言中的属性,并确保它们精确匹配用户尝试使用的 ID,同时也精确匹配管理控制台。

错误“无法按照系统原则进行调用”或“用户创建失败”

错误“无法按照系统原则进行调用”(后跟一个任意代码)或“用户创建失败”表示 SAML 属性存在问题。确保属性名称的大小写正确(区分大小写、命名):FirstName、LastName、Email。例如,将最后一个属性写为“email”而不是“Email”会导致出现这些错误。

如果 SAML 断言不包含“主题”>“NameId”元素中的用户电子邮件,也会导致出现这些错误(在使用 SAML Tracer 时,它应采用 emailAddress 格式并将实际电子邮件作为文本值)。 

如果您需要 Adobe 支持团队的帮助,请包含 SAML 跟踪。

 

错误“SAML 响应中的颁发者与为身份提供程序配置的颁发者不匹配”

SAML 断言中的 IDP 颁发者不同于在入站 SAML 中配置的颁发者。查找拼写错误(如 http 与 https)。在通过客户 SAML 系统检查 IDP 颁发者字符串时,您需要查找与他们提供的字符串精确匹配的字符串。有时会因结尾缺少一个斜杠而发生此问题。

如果您需要帮助解决此错误,请提供 SAML 跟踪以及您在 Adobe 功能板中输入的值。

错误“SAML 响应中的数字签名没有使用身份提供程序的证书进行验证”

证书文件很可能不正确,并且需要重新上载。此问题通常发生在进行了更改且管理员引用了错误的证书文件之后。此外,还要检查格式类型(对于 ADFS,需要为 PEM 格式)。

错误“当前时间早于断言条件中指定的时间范围”

Windows

更正系统时钟,或调整时间偏差值。

设置系统时间:

使用以下命令检查系统时钟:

w32tm /query /status

您可以使用以下命令更正 Windows Server 上的系统时钟:

w32tm /resync

如果系统时钟设置正确,您可能需要为 IdP 和 IdP 进行身份验证的系统之间的偏差创建容差。

时钟偏差

首先将允许的偏差值设置为 2 分钟。检查您能否建立连接,然后根据结果增加或减少该值。可在 Microsoft 知识库中查找完整的详细信息。

要进行汇总,可从 Powershell 运行以下命令:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Just to see what the values were originally
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Set the skew to 2 minutes

其中,“urn:party:sso”是您的依赖方的标识符之一

注意:您可以使用不带参数的 Get-ADFSRelyingPartyTrust cmdlet 来获取所有依赖方信任对象。

基于 UNIX 的系统

确保系统时钟设置正确,例如,可使用以下命令进行验证:

ntpdate -u pool.ntp.org

SubjectConfirmation 中指定的收件人与我们的服务提供程序实体 ID 不匹配

检查属性,因为它们需要精确匹配以下大小写:FirstName、LastName、Email。此错误消息可能意味着某个属性具有错误的大小写,例如使用“email”而不是“Email”。此外,还要检查收件人值,它应当引用 ACS 字符串。

ACS 字符串

错误 401 未授权的凭据

当应用程序不支持联合登录并且必须以 Adobe ID 登录时,会出现此错误。例如,Framemaker、RoboHelp 和 Captivate 便是具有此要求的应用程序。

错误“入站 SAML 登录失败,并显示消息:‘SAML 响应不包含任何断言’”

检查登录工作流。如果您能够在另一台计算机或另一个网络上访问登录页面,但不能从内部访问,那么此问题可能出自块代理字符串。此外,请运行 SAML 跟踪并确认 SAML 主题中的名字、姓氏和用户名是具有正确格式的电子邮件地址。

错误 400 错误的请求 / 错误“SAML 请求的状态不成功”/ SAML 证书验证失败

错误 400 错误的请求

验证是否正在发送正确的 SAML 断言:

  • 验证身份提供程序在 SAML 断言中传递以下属性(区分大小写):FirstName、LastName、Email。如果这些属性未在 IdP 中配置为在 SAML 2.0 连接器配置过程中发送,则身份验证将不起作用。
  • 主题中没有 NameID 元素。验证主题元素中是否包含 NameId 元素。它必须与 Email 属性相同,而该属性应为要对其进行身份验证的用户的电子邮件地址。
  • 拼写错误,尤其是像 https 与 http 这样容易被忽略的拼写错误。
  • 验证是否提供了正确的证书。IDP 必须配置为使用未压缩的 SAML 请求/响应。Okta 入站 SAML 协议只能处理未压缩的设置(非压缩设置)。

诸如适用于 Firefox 的 SAML Tracer 这样的实用程序可帮助解压缩并显示断言以供检查。如果您需要 Adobe 支持团队的帮助,他们将要求您提供此文件。

以下工作示例可帮助您正确设置 SAML 断言的格式:

下载

对于 Microsoft ADFS:

  1. 每个 Active Directory 帐户都必须拥有一个在 Active Directory 中列出的电子邮件地址才能成功登录(事件日志:SAML 响应在断言中不包含 NameId)。请首先检查这一点。
  2. 访问“功能板”。
  3. 单击“身份”选项卡,然后单击域。
  4. 单击“编辑配置”。
  5. 找到“IDP 绑定”。切换到 HTTP-POST,然后进行保存。 
  6. 重新测试登录体验。
  7. 如果体验正常,但您更喜欢之前的设置,只需切换回 HTTP-REDIRECT 并将元数据重新上载到 ADFS。

对于其他 IdP:

  1. 遇到错误 400 表示您的 IdP 拒绝了成功的登录。
  2. 检查您的 IdP 日志以了解错误的根源。
  3. 更正问题,然后重试。

配置 Microsoft ADFS

请参阅配置 Microsoft ADFS 的分步指南。

如果 Mac 客户端在 Creative Cloud 中具有空白窗口,请确保“Creative Cloud”用户代理受到信任。

配置 Microsoft Azure

请参阅配置 Microsoft Azure 的分步指南。

配置 OneLogin

请参阅配置 OneLogin 的分步指南。

配置 Okta

请参阅配置 Okta 的分步指南。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略