Guía del usuario Cancelar

Resolver errores de inicio de sesión con Federated ID (SSO)

Resuelva errores habituales de autenticación, verifique las configuraciones y solucione los problemas de inicio de sesión relacionados con Federated ID (SSO) en productos de Adobe. Reciba sugerencias para solucionar los errores de SAML, los problemas relacionados con los certificados y otras dificultades en el proceso de autenticación.

Nota:

Consulte los siguientes artículos si su organización ha configurado el inicio de sesión único (SSO) mediante Google Federation o Microsoft Azure Sync:

Información general

Tras configurar con éxito el SSO en Adobe Admin Console, asegúrese de haber seleccionado Descargar archivo de metadatos de Adobe y guarde el archivo de metadatos XML de SAML en su equipo. El proveedor de identidades necesita este archivo para habilitar el inicio de sesión único. Importe los detalles de configuración de XML correctamente en su proveedor de identidades (IdP). Esto es necesario para la integración de SAML con su IdP y garantizará que los datos estén configurados correctamente.

Si tiene preguntas sobre cómo utilizar el archivo de metadatos XML SAML para configurar su IdP, póngase en contacto directamente con su IdP para obtener instrucciones, que varían según el IdP.

Descargar el archivo de metadatos de Adobe

Resolución de problemas básica

Los problemas con el inicio de sesión único a menudo se deben a errores básicos que son fáciles de pasar por alto. En particular, verifique lo siguiente:

  • El usuario está asignado a un perfil de producto con un derecho.
  • El nombre de usuario enviado a SAML es igual al nombre de usuario en el panel de empresa.
  • Verifique todas las entradas en la Admin Console y su proveedor de identidad para ver si hay errores ortográficos o de sintaxis.
  • La aplicación de escritorio de Creative Cloud se ha actualizado a la última versión.
  • El usuario está iniciando sesión en el lugar correcto (una aplicación de escritorio de Creative Cloud, aplicación de Creative Cloud o Adobe.com)

Soluciones a otros errores habituales

Error: “Se ha producido un error” con el botón “Reintentar”

Este error suele ocurrir después de que la autenticación del usuario se haya realizado correctamente y Okta haya enviado correctamente la respuesta de autenticación a Adobe.

En Adobe Admin Console, valide lo siguiente:

En la pestaña Identidad:

  • Asegúrese de que se haya activado el dominio asociado.

En la pestaña Productos:

  • Asegúrese de que el usuario esté asociado al sobrenombre del producto correcto y en el dominio que afirmó estar configurado como Federated ID.
  • Asegúrese de que el alias del producto tenga asignados los derechos correctos.

En la pestaña Usuarios:

  • Asegúrese de que el nombre del usuario tenga el formato de una dirección de correo electrónico completa.

Error: “Access denegado” al iniciar sesión

Posibles causas de este error:

  • El nombre de usuario o la dirección de correo electrónico que se envíe en la aserción SAML no coincide con la información introducida en la Admin Console.
  • El usuario no está asociado al producto correcto o el producto no está asociado al derecho correcto.
  • El nombre de usuario de SAML aparece como algo más que una dirección de correo electrónico. Todos los usuarios deben estar en el dominio que ha formado parte del proceso de configuración.
  • Su cliente SSO utiliza JavaScript como parte del proceso de inicio de sesión y está intentando iniciar sesión en un cliente que no es compatible con JavaScript.

Cómo resolverlo:

  • Compruebe el nombre de usuario y el correo electrónico en Adobe Admin Console y verifique que los valores coinciden con los atributos “NameID” y “Email” de los registros SAML.
  • Verifique la configuración del panel del usuario: información del usuario y perfil del producto.
  • Ejecute un seguimiento de SAML y valide que la información que se envía coincida con el panel, y luego corrija las incoherencias.

Error: “Otro usuario está conectado actualmente”

El error “otro usuario está conectado actualmente” ocurre cuando los atributos enviados en la aserción SAML no coinciden con la dirección de correo electrónico que se utilizó para iniciar el proceso de inicio de sesión.

Ejecute un rastreo de SAML y compruebe que la dirección de correo electrónico del usuario para iniciar sesión coincida con lo siguiente:

  • La dirección de correo electrónico del usuario aparece en Admin Console
  • El nombre del usuario se pasó de nuevo al campo NameID de la aserción de SAML

Error: “El emisor en la respuesta de SAML no coincide con el emisor configurado para el proveedor de identidades”

El emisor de IDP en la aserción de SAML es diferente de lo configurado en el SAML entrante. Busque errores tipográficos (como http vs https). Al verificar la cadena IDP Issuer con el sistema SAML del cliente, está buscando una coincidencia EXACTA con la cadena que proporcionaron. Este problema surge a veces porque faltaba una barra al final.​​

Si necesita ayuda con este error, proporcione un seguimiento SAML y los valores que introdujo en el panel de Adobe.

Error: “La firma digital en la respuesta de SAML no se validó con el certificado del proveedor de identidades”

Este problema ocurre cuando el certificado de su directorio ha expirado. Para actualizar el certificado, debe descargar el certificado o los metadatos del proveedor de identidades y cargarlo en Adobe Admin Console.

Por ejemplo, siga los pasos a continuación si su IdP es Microsoft AD FS:

  1. Abra la aplicación de administración de AD FS en su servidor y dentro de la carpeta AD FS > Servicio > Terminales, seleccione Metadatos de federación.

  2. Utilice un explorador para navegar hasta la URL proporcionada con los metadatos de federación y descargue el archivo. Por ejemplo, https://<el nombre de host de AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Nota:

    Acepte las advertencias si se le solicita.

  3. En la pestaña Configuración de la Admin Console vaya a Configuración de identidadDirectorios. Seleccione el directorio que actualizar y haga clic en  Configurar en la tarjeta de Proveedor de SAML.

    Luego, cargue el archivo de metadatos IdP y haga clic en Guardar.

Error: “La hora actual es anterior al intervalo de tiempo especificado en las condiciones de afirmación”

Servidor IdP basado en Windows:

1. Asegúrese de que el reloj del sistema esté sincronizado con un servidor de hora preciso.

Verifique la precisión del reloj del sistema con su servidor de hora con este comando; el valor de “Desplazamiento de fase” debe ser una pequeña fracción de segundo:

w32tm /query /status /verbose

Puede provocar una resincronización inmediata del reloj del sistema con el servidor de hora con el siguiente comando:

w32tm /resync

Si el reloj del sistema está configurado correctamente y sigue viendo el error anterior, debe ajustar la configuración de desviación de hora para aumentar la tolerancia de la diferencia entre relojes entre el servidor y el cliente.

2. Aumente la diferencia permitida en el reloj de sistema entre servidores.

Desde una ventana de PowerShell con derechos administrativos, establezca el valor de desviación permitido en 2 minutos. Compruebe si puede iniciar sesión y luego aumente o disminuya el valor en función del resultado.

Determine la configuración actual de desviación de hora para la Relación de confianza para usuario autenticado con el siguiente comando:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

La relación de confianza para usuario autenticado se identifica mediante la URL que se muestra en el campo “Identificador” del resultado del comando anterior para esa configuración en particular. Esta URL también se muestra en la utilidad ADFS Management en la ventana de propiedades de Relación de confianza para usuario autenticado en la pestaña “Identificadores” en el campo “Relación de confianza para usuario autenticado”, como se muestra en la captura de pantalla que se incluye a continuación.

Establezca la desviación de tiempo en 2 minutos con el siguiente comando, sustituyendo la dirección del identificador en consecuencia:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

Servidor IdP basado en UNIX

Asegúrese de que el reloj del sistema esté configurado correctamente, ya sea utilizando el servicio ntpd, o manualmente con el comando ntpdate desde un shell raíz o con sudo como se muestra a continuación (tenga en cuenta que si el tiempo se altera en más de 0,5 segundos, el cambio no se producirá inmediatamente, pero corregirá lentamente el reloj del sistema). Asegurarse de que la zona horaria esté configurada correctamente.

# ntpdate -u pool.ntp.org

Nota:

Esto funciona con proveedores de identidades como Shibboleth.

Error: 401 credenciales no autorizadas

Este error se produce cuando la aplicación no admite el inicio de sesión federado y debe iniciar sesión como un Adobe ID. FrameMaker, RoboHelp y Adobe Captivate son ejemplos de aplicaciones con este requisito.

Error: “Error de inicio de sesión de SAML entrante con mensaje: la respuesta de SAML no contenía aserciones”

​Compruebe el flujo de trabajo de inicio de sesión.  Si puede acceder a la página de inicio de sesión en otra máquina o red, pero no internamente, el problema podría ser una cadena de agente de bloqueo.  Además, ejecute un seguimiento SAML y confirme que ​​el nombre, apellido y nombre de usuario como una dirección de correo electrónico con el formato adecuado​​​​ están en el asunto de SAML.

Error: “400 solicitud errónea”, “el estado de la solicitud de SAML no era correcto” o “error de validación en la certificación SAML”

Comprobar que se está enviando la aserción SAML adecuada:

  • No tener un elemento NameID en el asunto. Compruebe que el elemento Subject contenga un elemento NameId. Debe ser igual al atributo Email, que debe ser la dirección de correo electrónico del usuario que desea autenticar.
  • Errores ortográficos, en especial los más habituales, como https en vez de http.
  • Compruebe que se proporcionó el certificado correcto. Los IDP deben configurarse para utilizar solicitudes/respuestas de SAML sin comprimir.

Una utilidad como Rastreador de SAML para Firefox puede ayudar a descomprimir la aserción y mostrarla para su inspección. Si necesita asistencia del Servicio de atención al cliente de Adobe, se le pedirá este archivo. Para obtener más detalles, consulte cómo realizar un seguimiento de SAML.

El siguiente ejemplo de trabajo puede ayudar a formatear correctamente su aserción SAML:

Descargar

Con Servicios de federación de Active Directory de Microsoft:

  1. Cada cuenta de Active Directory debe tener una dirección de correo electrónico incluida en Active Directory para iniciar sesión correctamente (registro de eventos: La respuesta SAML no tiene NameId en la aserción). Compruebe esto primero.
  2. Acceda al panel
  3. Haga clic en la pestaña Identidad y el dominio.
  4. Haga clic en Editar configuración.
  5. Localice la vinculación IDP. Cambie a HTTP-POST y luego guarde. 
  6. Vuelva a probar la experiencia de inicio de sesión.
  7. Si funciona, pero prefiere la configuración anterior, simplemente vuelva a HTTP-REDIRECT y vuelva a cargar los metadatos en ADFS.

Con otros IdP:

  1. Encontrarse con el error 400 significa que su IdP rechazó un inicio de sesión correcto.
  2. Compruebe los registros de IdP para ver el origen del error.
  3. Corrija el problema y vuelva a intentarlo.

Error: “403 certificado defectuoso”

Error: “403 aplicación_no_configurada_para_el_usuario”

Actualice el ID de entidad en Google Console. A continuación, exporte el archivo de metadatos y cárguelo a Adobe Admin Console.

Error: “No puede acceder a este elemento ahora mismo” o “ruta inaccesible desde aquí”

Este error suele ocurrir cuando la organización ha activado la política de acceso condicional en IdP.

Si utiliza paquetes gestionados para implementar los productos, cree un paquete gestionado en Adobe Admin Console; para ello, seleccione la opción de autenticación basado en el navegador. A continuación, impleméntelo en el dispositivo del usuario.

De otro modo, los usuarios pueden abrir la aplicación de escritorio de Creative Cloud y seleccionar Iniciar sesión a través del navegador en el menú de Ayuda.

Error: “Aplicación sin asignar”

En este caso, el administrador debe añadir a los usuarios a la aplicación de Adobe SAML creada en su IdP. Consulte cómo crear una aplicación de Adobe SAML en Google Admin console o Microsoft Azure Portal.

Error: “No tiene acceso a este servicio. Contacte con su administrador de TI para obtener acceso o inicie sesión con Adobe ID”

Revise los registros de SAML, ya que el nombre, apellido o dirección de correo electrónico que se envía en la afirmación SAML no coincide con la información introducida en Admin Console.

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?