Otevřete aplikaci AD FS pro správu na svém serveru a ve složce AD FS > Služba > Koncové body vyberte možnost Metadata federace.
Tento článek se nevztahuje na nastavení jednotného přihlašování pomocí federace Google nebo Microsoft Azure Sync.
Podívejte se do následujících článků, pokud vaše organizace nastavila SSO prostřednictvím některého z těchto poskytovatelů identity:
Po úspěšné konfiguraci jednotného přihlašování v konzoli Adobe Admin Console se ujistěte, že jste použili možnost Stáhnout soubor s metadaty Adobe a že jste soubor s metadaty XML SAML uložili do počítače. Váš poskytovatel identity potřebuje tento soubor k povolení jednotného přihlašování. Naimportujte podrobnosti konfigurace XML řádně do svého poskytovatele identity (IdP). Je to nutné kvůli integraci protokolu SAML s vaším zprostředkovatelem identity a je tím zaručeno, že budou data nakonfigurována správně.
V případě dotazů k používání souboru s metadaty XML SAML ke konfiguraci poskytovatele identity se obraťte přímo na svého poskytovatele identity. Obdržené pokyny se mohou u jednotlivých poskytovatelů identity lišit.
Problémy s jednotným přihlašováním jsou často způsobeny základními chybami, které lze snadno přehlédnout. Zkontrolujte zejména následující oblasti:
K této chybě obvykle dochází po úspěšném ověření uživatele, kdy poskytovatel Okta úspěšně předá odpověď na ověření společnosti Adobe.
V konzoli Adobe Admin Console ověřte následující:
Na kartě Identita:
Na kartě Produkty:
Na kartě Uživatelé:
Možné příčiny této chyby:
Řešení:
K chybě „Aktuálně je přihlášen jiný uživatel“ dochází v případě, že atributy odeslané v rámci kontroly SAML neodpovídají e-mailové adrese, která byla použita k zahájení procesu přihlášení.
Ujistěte se, že e-mailová adresa uživatele pro přihlášení odpovídá následujícímu:
Vydavatel IDP v rámci kontroly SAML se liší od vydavatele nakonfigurovaného v rámci příchozího SAML. Zkontrolujte případné překlepy (například http vs. https). Při kontrole řetězce s vydavatelem IDP a systémem SAML zákazníka je nezbytná přesná shoda se zadaným řetězcem. K tomuto problému někdy dochází v případě, že na konci chybí lomítko.
Pokud s touto chybou potřebujete pomoct, uveďte trasování SAML a hodnoty zadané na řídicím panelu Adobe.
K tomuto problému dochází v případě, že vypršela platnost certifikátu vašeho adresáře. Pokud budete chtít certifikát aktualizovat, musíte si stáhnout certifikát nebo metadata od poskytovatele identity a nahrát je do konzole Adobe Admin Console.
Pokud jako poskytovatele identity používáte Microsoft AD FS, postupujte následovně:
Otevřete aplikaci AD FS pro správu na svém serveru a ve složce AD FS > Služba > Koncové body vyberte možnost Metadata federace.
V prohlížeči přejděte na adresu URL pro příslušná metadata federace a stáhněte soubor. Například https://<název hostitele AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.
Potvrďte případná upozornění.
Přihlaste se ke konzoli Adobe Admin Console a přejděte do nabídky Nastavení > Identita > Adresáře. Vyberte adresář, který chcete aktualizovat, a klikněte na tlačítko Konfigurovat na kartě Poskytovatel SAML.
Poté soubor s metadaty IdP nahrajte a klikněte na tlačítko Uložit.
1. Ujistěte se, zda jsou systémové hodiny synchronizovány pomocí přesného časového serveru.
Pomocí následujícího příkazu zkontrolujte přesnost systémových hodin vůči časovému serveru (hodnota „Posun fáze“ by měla být malým zlomkem sekundy):
w32tm /query /status /verbose
Synchronizaci systémových hodin s časovým serverem můžete provést okamžitě za použití následujícího příkazu:
w32tm /resync
Pokud jsou systémové hodiny nastaveny správně, ale výše uvedená chyba přetrvá, bude pravděpodobně nutné upravit nastavení časového posunu, aby se zvýšila tolerance rozdílu mezi hodinami serveru a klienta.
2. Navyšte povolený rozdíl v systémových hodinách mezi servery.
V okně Powershell s oprávněním správce nastavte povolenou hodnotu posunu na 2 minuty. Zkontrolujte, zda se můžete přihlásit, a poté podle výsledků hodnotu dále zvyšte nebo snižte.
Pomocí následujícího příkazu určete aktuální nastavení časového posunu pro příslušnou důvěryhodnost závislé strany:
Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew
Důvěryhodnost závislé strany je identifikována dle adresy URL uvedené v poli „Identifikátor“ na výstupu předchozího příkazu pro danou konfiguraci. Tato adresa URL se také zobrazí v nástroji ADFS pro správu, konkrétně v okně s vlastnostmi příslušné důvěryhodnosti závislé strany na kartě „Identifikátor“ v poli „Důvěryhodnost závislé strany“, jak můžete vidět na následujícím obrázku.
Pomocí následujícího příkazu nastavte časový posun na 2 minuty a odpovídajícím způsobem nahraďte adresu identifikátoru:
Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2
O správnosti nastavení systémových hodin se ujistěte buď pomocí služby „ntpd“, nebo ručně pomocí příkazu „ntpdate“ z kořenového shellu nebo pomocí příkazu „sudo“, jak můžete vidět dále (mějte na paměti, že pokud je časový posun větší než 0,5 sekundy, ke změně nedojde okamžitě, ale pomalu se přenastaví systémové hodiny). Zkontrolujte také správné nastavení časového pásma.
# ntpdate -u pool.ntp.org
Tento příkaz lze použít u poskytovatelů identit, jako je Shibboleth.
K této chybě dojde v případě, že aplikace nepodporuje federované přihlášení a vyžaduje přihlášení Adobe ID. Příkladem aplikací s tímto požadavkem jsou FrameMaker, RoboHelp a Adobe Captivate.
Zkontrolujte pracovní postup přihlášení. Pokud máte přístup k přihlašovací stránce na jiném počítači nebo v síti, ale interně přístup není možný, příčinou problému může být řetězec agenta bloku. Aktivujte také trasování SAML a ujistěte se, že jméno, příjmení a uživatelské jméno mají správný formát e-mailové adresy v předmětu SAML.
Ověřte, že bylo odesláno správné vyhodnocení SAML:
Nástroje, jako je např. SAML Tracer pro prohlížeč Firefox, vám mohou pomoci dekomprimovat výsledky kontroly a umožnit tak jejich kontrolu. Pokud se obrátíte o pomoc na péči o zákazníky společnosti Adobe, budete požádáni o tento soubor. Podrobnosti viz téma Používání trasování SAML.
Následující funkční příklad vám může pomoci ke správnému naformátování kontroly SAML:
Stáhnout
Microsoft ADFS:
Ostatní poskytovatelé identity:
Přihlaste se ke svému účtu.