Příručka uživatele Zrušit

Řešení chyb přihlášení k Federated ID (SSO)

  1. Příručka pro správu podnikových a týmových produktů Adobe
  2. Plánování nasazení
    1. Základní koncepty
      1. Licencování
      2. Identita
      3. Správa uživatelů
      4. Nasazení aplikace
      5. Admin Console – přehled
      6. Role správce
    2. Průvodci nasazením
      1. Průvodce nasazením na jméno
      2. Průvodce nasazením SDL
      3. Nasazení aplikace Adobe Acrobat 
    3. Nasazení produktů Creative Cloud pro vzdělávací instituce
      1. Úvodní stránka nasazení
      2. K-12 Průvodce zaškolením
      3. Jednoduché nastavení
      4. Synchronizace uživatelů
      5. Synchronizace seznamu K-12 (USA)
      6. Klíčové licenční koncepty
      7. Možnosti nasazení
      8. Rychlé tipy
      9. Schvalování aplikací Adobe v konzoli Google Admin Console
      10. Povolení aplikace Adobe Express v nástroji Google Classroom
      11. Integrace pomocí Canvas LMS
      12. Integrace pomocí Blackboard Learn
      13. Konfigurace jednotného přihlašování pro školní portály a systémy pro vedení výuky
      14. Přidání uživatelů prostřednictvím synchronizace seznamu
      15. Nejčastější dotazy ke službě Kivuto
      16. Pokyny pro způsobilost základních a středních škol
  3. Nastavit vaši organizaci
    1. Typy identit | Přehled
    2. Nastavení identity | Přehled
    3. Nastavení organizace pomocí Enterprise ID
    4. Nastavení federace Azure AD a synchronizace
      1. Nastavte jednotné přihlašování SSO pomocí účtu Microsoft prostřednictvím Azure OIDC
      2. Přidání Azure Sync do adresáře
      3. Synchronizace rolí pro oblast vzdělávání
      4. Nejčastější dotazy – Konektor Azure
    5. Nastavte Google Federation a synchronizujte
      1. Nastavení jednotného přihlašování SSO pomocí Google Federation
      2. Přidat Google Sync do vašeho adresáře
      3. Nejčastější dotazy – Google Federation
    6. Nastavení organizace prostřednictvím Microsoft ADFS
    7. Nastavení organizace pro školní portály a systémy pro vedení výuky
    8. Nastavení organizace s jinými poskytovateli identity
      1. Vytvoření adresáře
      2. Ověření vlastnictví domény
      3. Přidání domén do adresářů
    9. Běžné dotazy a řešení potíží s jednotným přihlašováním
      1. Časté dotazy k jednotnému přihlašování
      2. Řešení problémů s jednotným přihlašováním
      3. Časté dotazy ke vzdělávání
  4. Správa a nastavení organizace
    1. Správa stávajících domén a adresářů
    2. Povolení automatického vytváření účtu
    3. Nastavení organizace prostřednictvím důvěryhodnosti adresáře
    4. Přechod na nového poskytovatele autentizace 
    5. Nastavení datových zdrojů
    6. Nastavení ověřování
    7. Ochrana osobních údajů a bezpečnostní kontakty
    8. Nastavení konzole
    9. Správa šifrování  
  5. Správa uživatelů
    1. Přehled
    2. Role pro správu
    3. Strategie správy uživatelů
      1. Správa uživatelů jednotlivě   
      2. Správa více uživatelů (hromadné nahrávání CSV)
      3. Nástroj pro synchronizaci uživatelů (UST)
      4. Synchronizace Microsoft Azure
      5. Synchronizace Google Federation
    4. Přiřazení licencí uživateli v týmu
    5. Správa uživatelů v aplikaci pro týmy
      1. Správa týmu v aplikaci Adobe Express
      2. Správa týmu v aplikaci Adobe Acrobat
    6. Přidání uživatelů s odpovídajícími e-mailovými doménami
    7. Změna typu identity uživatele
    8. Správa skupin uživatelů
    9. Správa uživatelů v adresáři
    10. Správa vývojářů
    11. Přesun stávajících uživatelů do konzole Adobe Admin Console
    12. Přesun správy uživatelů do konzole Adobe Admin Console
  6. Správa produktů a oprávnění
    1. Správa produktů a jejich profilů
      1. Spravovat produkty
      2. Zakoupení produktů a licencí
      3. Správa profilů produktů pro podnikové uživatele
      4. Správa pravidel automatického přiřazování
      5. Zmocnění uživatelů trénovat vlastní modely Firefly
      6. Zkontrolovat žádosti o produkt
      7. Správa zásad samoobsluhy
      8. Správa integrací do aplikací
      9. Správa oprávnění k produktům v konzoli Admin Console  
      10. Povolení/zakázání služeb pro profil produktu
      11. Jedna aplikace | Creative Cloud pro podniky
      12. Volitelné služby
    2. Správa licencí pro sdílená zařízení
      1. Co je nového
      2. Průvodce nasazením
      3. Vytváření balíčků
      4. Obnova licencí
      5. Správa profilů
      6. Licensing Toolkit
      7. Časté dotazy k licencím pro sdílená zařízení
  7. Začínáme s konzolí Global Admin Console
    1. Přechod na globální správu
    2. Výběr organizace
    3. Správa organizační hierarchie
    4. Správa profilů produktu
    5. Správa správců
    6. Správa skupin uživatelů
    7. Aktualizace zásad organizace
    8. Správa šablon zásad
    9. Přidělení produktů podřízeným organizacím
    10. Provedení nevyřízených úloh
    11. Prozkoumejte vhledy
    12. Export nebo import organizační struktury
  8. Správa úložiště a položek
    1. Úložiště
      1. Správa podnikového úložiště
      2. Adobe Creative Cloud: aktualizace úložiště
      3. Správa úložiště Adobe
    2. Migrace datových zdrojů
      1. Automatická migrace datových zdrojů
      2. Časté dotazy k automatické migraci datových zdrojů
      3. Správa přenesených datových zdrojů
    3. Převzetí datových zdrojů od uživatele
    4. Přenesení studentských datových zdrojů | Pouze EDU
      1. Automatické přenesení studentských datových zdrojů
      2. Přenesení datových zdrojů
  9. Správa služeb
    1. Adobe Stock
      1. Balíčky kreditů Adobe Stock pro týmy
      2. Adobe Stock pro podniky
      3. Používání služby Adobe Stock pro podniky
      4. Schválení licence služby Adobe Stock
    2. Vlastní písma
    3. Adobe Asset Link
      1. Přehled
      2. Vytvoření skupiny uživatelů
      3. Nastavení služby Adobe Experience Manager Assets
      4. Konfigurace a instalace nástroje Adobe Asset Link
      5. Správa datových zdrojů
      6. Adobe Asset Link pro XD
    4. Adobe Acrobat Sign
      1. Nastavení služby Adobe Acrobat Sign pro podnik nebo týmy
      2. Adobe Acrobat Sign – správce funkcí pro týmy
      3. Správa služby Adobe Acrobat Sign v konzoli Admin Console
    5. Creative Cloud pro podniky – bezplatné členství
      1. Přehled
  10. Nasazení aplikací a aktualizací
    1. Přehled
      1. Nasazení a dodávání aplikací a aktualizací
      2. Plánování nasazení
      3. Příprava k nasazení
    2. Vytváření balíčků
      1. Vytváření balíčků aplikací pomocí konzole Admin Console
      2. Vytváření balíčků k licencování na jméno
      3. Správa předem vygenerovaných balíčků
        1. Správa šablon Adobe
        2. Správa balíčků s jednou aplikací
      4. Správa balíčků
      5. Správa licencí pro zařízení
      6. Licence pro sériové číslo
    3. Přizpůsobení balíčků
      1. Přizpůsobení aplikace Creative Cloud pro stolní počítače
      2. Přidání doplňků do balíčku
    4. Nasazování balíčků 
      1. Nasazování balíčků
      2. Nasazování balíčků Adobe pomocí služby Microsoft Intune
      3. Nasazování balíčků Adobe pomocí nástroje SCCM
      4. Nasazování balíčků produktů Adobe pomocí nástroje ARD
      5. Instalace produktů do složky Výjimky
      6. Odinstalování produktů Creative Cloud
      7. Použití podnikové edice sady nástrojů Adobe Provisioning Toolkit
    5. Správa aktualizací
      1. Řízení změn pro zákazníky společnosti Adobe využívající produkty pro podniky a týmy
      2. Nasazení aktualizací
    6. Adobe Update Server Setup Tool (AUSST)
      1. Přehled nástroje AUSST
      2. Nastavení interního aktualizačního serveru
      3. Údržba interního aktualizačního serveru
      4. Časté případy použití nástroje AUSST   
      5. Řešení problémů s interním aktualizačním serverem
    7. Nástroj Remote Update Manager (RUM)
      1. Poznámky k verzi
      2. Použití nástroje Adobe Remote Update Manager
    8. Řešení problémů
      1. Odstraňování chyb při instalaci a odinstalování aplikací Creative Cloud
      2. Odeslání dotazu do klientských počítačů pro kontrolu nasazení balíčku
  11. Správa účtu Teams
    1. Přehled
    2. Aktualizace platebních údajů
    3. Správa faktur
    4. Změna vlastníka smlouvy
    5. Změna plánu
    6. Změna distributora
    7. Zrušení plánu
    8. Soulad s požadavky na nákup
  12. Prodlužování
    1. Členství týmů: prodloužení
    2. Podnik v rámci VIP: prodloužení a soulad
  13. Správa smluv
    1. Automatizované fáze vypršení platnosti smluv ETLA
    2. Přepínání typů smluv v rámci existující konzole Adobe Admin Console
    3. Program Value Incentive Plan (VIP) v Číně
    4. Nápověda k programu VIP Select
  14. Zprávy a protokoly
    1. Protokol auditu
    2. Zprávy o přiřazení
    3. Protokoly obsahu
  15. Zažádat o asistenci
    1. Kontaktování péče o zákazníky Adobe
    2. Možnosti podpory pro týmové účty
    3. Možnosti podpory pro podnikové účty
    4. Možnosti podpory pro Experience Cloud

Řešení běžných chyb ověřování, ověřování konfigurací a odstraňování problémů s přihlášením souvisejících s Federated ID (SSO) v produktech Adobe. Získejte tipy, jak opravit chyby SAML, problémy s certifikáty a další problémy s ověřováním.

Poznámka:

Pokud vaše organizace nastavila jednotné přihlašování prostřednictvím Google Federation nebo Microsoft Azure Sync, přečtěte si následující články:

Přehled

Po úspěšné konfiguraci jednotného přihlašování v konzoli Adobe Admin Console se ujistěte, že jste vybrali možnost Stáhnout soubor s metadaty Adobe a že jste soubor s metadaty XML SAML uložili do počítače. Váš poskytovatel identity potřebuje tento soubor k povolení jednotného přihlašování. Naimportujte podrobnosti konfigurace XML řádně do svého poskytovatele identity (IdP). Je to nutné kvůli integraci protokolu SAML s vaším zprostředkovatelem identity a je tím zaručeno, že budou data nakonfigurována správně.

V případě dotazů k používání souboru s metadaty XML SAML ke konfiguraci poskytovatele identity se obraťte přímo na svého poskytovatele identity. Obdržené pokyny se mohou u jednotlivých poskytovatelů identity lišit.

Stáhněte soubor s metadaty Adobe

Řešení nejběžnějších problémů

Problémy s jednotným přihlašováním jsou často způsobeny základními chybami, které lze snadno přehlédnout. Zkontrolujte zejména následující oblasti:

  • Uživatel je přiřazen k profilu produktu s potřebným oprávněním.
  • Uživatelské jméno odeslané do SAML se shoduje s uživatelským jménem na řídicím panelu podniku.
  • Zkontrolujte všechny položky v konzoli Admin Console a u vašeho poskytovatele identity, zda neobsahují překlepy nebo syntaktické chyby.
  • Aplikace Creative Cloud pro počítače byla aktualizována na nejnovější verzi.
  • Uživatel se přihlašuje na správném místě (aplikace Creative Cloud pro stolní počítače, aplikace Creative Cloud nebo Adobe.com).

Řešení dalších běžných chyb

Chyba: „Došlo k chybě“ s dostupným tlačítkem „Zkusit znovu“

K této chybě obvykle dochází po úspěšném ověření uživatele, kdy poskytovatel Okta úspěšně předá odpověď na ověření společnosti Adobe.

V konzoli Adobe Admin Console ověřte následující:

Na kartě Identita:

  • Zajistěte, že je přidružená doména aktivní.

Na kartě Produkty:

  • Ujistěte se, že je uživatel přiřazen ke správné přezdívce produktu a v doméně s deklarací konfigurace Federated ID.
  • Ujistěte se, zda byla přezdívce produktu přiřazena správná oprávnění.

Na kartě Uživatelé:

  • Ujistěte se, že uživatelské jméno uživatele má podobu úplné e-mailové adresy.

Chyba: „Přístup zamítnut“ při přihlašování

Možné příčiny této chyby:

  • Uživatelské jméno nebo e-mailová adresa odesílaná v rámci kontroly SAML se neshodují s informacemi zadanými v konzoli Admin Console.
  • Uživatel není přiřazen ke správnému produktu nebo produkt není přiřazen ke správným oprávněním.
  • Uživatelské jméno SAML je uvedeno v jiné podobě než ve formě e-mailové adresy. Všichni uživatelé se musí nacházet v doméně, kterou jste deklarovali v rámci instalace.
  • Váš klient pro jednotné přihlašování používá jako součást procesu přihlášení JavaScript. Vy se ale pokoušíte přihlásit ke klientovi, který JavaScript nepodporuje.

Řešení:

  • Zkontrolujte uživatelské jméno a e-mail v konzoli Adobe Admin Console a porovnejte hodnotu s atributem NameID a Email v protokolech SAML.
  • Ověřte konfiguraci řídicího panelu pro uživatele: informace o uživateli a profil produktu.
  • Aktivujte trasování SAML a ověřte, zda se odesílané informace shodují s informacemi na řídicím panelu. Poté odstraňte všechny nesrovnalosti.

Chyba: „Aktuálně je přihlášen jiný uživatel“

K chybě „Aktuálně je přihlášen jiný uživatel“ dochází v případě, že atributy odeslané v rámci kontroly SAML neodpovídají e-mailové adrese, která byla použita k zahájení procesu přihlášení.

Spusťte trasování SAML Traceujistěte se, že e-mailová adresa uživatele pro přihlášení odpovídá následujícímu:

  • e-mailová adresa uživatele uvedená v konzoli Admin Console;
  • uživatelské jméno poskytované v poli NameID v rámci kontroly SAML.

Chyba „Vydavatel v rámci kontroly SAML neodpovídá vydavateli nakonfigurovanému pro poskytovatele identity“

Vydavatel IDP v rámci kontroly SAML se liší od vydavatele nakonfigurovaného v rámci příchozího SAML. Zkontrolujte případné překlepy (například http vs. https). Při kontrole řetězce s vydavatelem IDP a systémem SAML zákazníka je nezbytná přesná shoda se zadaným řetězcem. K tomuto problému někdy dochází v případě, že na konci chybí lomítko.​​

Pokud s touto chybou potřebujete pomoct, uveďte trasování SAML trace a hodnoty zadané na řídicím panelu Adobe.

Chyba „Digitální podpis v rámci kontroly SAML nebyl ověřen za použití certifikátu poskytovatele identity“

K tomuto problému dochází v případě, že vypršela platnost certifikátu vašeho adresáře. Pokud budete chtít certifikát aktualizovat, musíte si stáhnout certifikát nebo metadata od poskytovatele identity a nahrát je do konzole Adobe Admin Console.

Pokud jako poskytovatele identity používáte Microsoft AD FS, postupujte následovně:

  1. Otevřete aplikaci AD FS pro správu na svém serveru a ve složce AD FS > Služba > Koncové body vyberte možnost Metadata federace.

  2. V prohlížeči přejděte na adresu URL pro příslušná metadata federace a stáhněte soubor. Například https://<název hostitele AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Poznámka:

    Potvrďte případná upozornění.

  3. Na kartě Nastavení v konzoli Admin Console přejděte k možnosti Nastavení identityAdresáře. Vyberte adresář, který chcete aktualizovat, a klikněte na tlačítko Konfigurovat na kartě Poskytovatel SAML.

    Poté soubor s metadaty IdP nahrajte a klikněte na tlačítko Uložit.

Chyba „Aktuální čas předchází časovému rozsahu určenému v podmínkách kontrolního výrazu“

Server IdP se systémem Windows:

1. Ujistěte se, zda jsou systémové hodiny synchronizovány pomocí přesného časového serveru.

Pomocí následujícího příkazu zkontrolujte přesnost systémových hodin vůči časovému serveru (hodnota „Posun fáze“ by měla být malým zlomkem sekundy):

w32tm /query /status /verbose

Synchronizaci systémových hodin s časovým serverem můžete provést okamžitě za použití následujícího příkazu:

w32tm /resync

Pokud jsou systémové hodiny nastaveny správně, ale výše uvedená chyba přetrvá, bude pravděpodobně nutné upravit nastavení časového posunu, aby se zvýšila tolerance rozdílu mezi hodinami serveru a klienta.

2. Navyšte povolený rozdíl v systémových hodinách mezi servery.

V okně Powershell s oprávněním správce nastavte povolenou hodnotu posunu na 2 minuty. Zkontrolujte, zda se můžete přihlásit, a poté podle výsledků hodnotu dále zvyšte nebo snižte.

Pomocí následujícího příkazu určete aktuální nastavení časového posunu pro příslušnou důvěryhodnost závislé strany:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Důvěryhodnost závislé strany je identifikována dle adresy URL uvedené v poli „Identifikátor“ na výstupu předchozího příkazu pro danou konfiguraci. Tato adresa URL se také zobrazí v nástroji ADFS pro správu, konkrétně v okně s vlastnostmi příslušné důvěryhodnosti závislé strany na kartě „Identifikátor“ v poli „Důvěryhodnost závislé strany“, jak můžete vidět na následujícím obrázku.

Pomocí následujícího příkazu nastavte časový posun na 2 minuty a odpovídajícím způsobem nahraďte adresu identifikátoru:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

Server IdP se systémem UNIX

O správnosti nastavení systémových hodin se ujistěte buď pomocí služby „ntpd“, nebo ručně pomocí příkazu „ntpdate“ z kořenového shellu nebo pomocí příkazu „sudo“, jak můžete vidět dále (mějte na paměti, že pokud je časový posun větší než 0,5 sekundy, ke změně nedojde okamžitě, ale pomalu se přenastaví systémové hodiny). Zkontrolujte také správné nastavení časového pásma.

# ntpdate -u pool.ntp.org

Poznámka:

Tento příkaz lze použít u poskytovatelů identit, jako je Shibboleth.

Chyba: 401 neautorizované přihlašovací údaje

K této chybě dojde v případě, že aplikace nepodporuje federované přihlášení a vyžaduje přihlášení Adobe ID. Příkladem aplikací s tímto požadavkem jsou FrameMaker, RoboHelp a Adobe Captivate.

Chyba „Příchozí přihlášení SAML se nezdařilo se zprávou: Odpověď SAML neobsahovala kontrolu“

​Zkontrolujte pracovní postup přihlášení.  Pokud máte přístup k přihlašovací stránce na jiném počítači nebo v síti, ale interně není přístup možný, příčinou problému může být řetězec agenta bloku.  Aktivujte také trasování SAML a ujistěte se, že jméno, příjmení a uživatelské jméno mají správný formát e-mailové adresy​​ v předmětu SAML.

Chyba: „400 nesprávný požadavek“ nebo „Stav požadavku SAML nebyl úspěšný“ nebo „Certifikace SAML se nezdařila“

Ověřte, že bylo odesláno správné vyhodnocení SAML:

  • Absence elementu NameID v předmětu. Ověřte, že element předmětu obsahuje prvek NameId. Tento element musí být shodný s atributem Email, tedy s e-mailovou adresou uživatele, u kterého chcete provést ověření.
  • Ověřte možné překlepy, především snadno přehlédnutelné chyby jako je „https“ namísto „http“.
  • Ověřte, zda byl uveden správný certifikát. Poskytovatele identity je třeba nakonfigurovat tak, aby používali nekomprimovaný požadavek/odpovědi SAML.

Nástroje, jako je např. SAML Tracer pro prohlížeč Firefox, vám mohou pomoci dekomprimovat výsledky kontroly a umožnit tak jejich kontrolu. Pokud se obrátíte o pomoc na péči o zákazníky společnosti Adobe, budete požádáni o tento soubor. Podrobnosti viz téma Používání trasování SAML.

Následující funkční příklad vám může pomoci ke správnému naformátování kontroly SAML:

Stáhnout

Microsoft ADFS:

  1. Každý z účtů Active Directory musí mít k úspěšnému přihlášení definovanou e-mailovou adresu ve službě Active Directory (protokol událostí: Odpověď SAML nemá v rámci kontroly uvedeno NameId). Nejprve zkontrolujte tuto skutečnost.
  2. Otevřete řídicí panel
  3. Klikněte na kartu Identita a na doménu.
  4. Klikněte na tlačítko Upravit konfiguraci.
  5. Vyhledejte vazbu poskytovatele identity. Přejděte na HTTP-POST a nastavení uložte. 
  6. Znovu otestujte možnost přihlášení.
  7. Pokud vše funguje správně, ale dali byste přednost předchozímu nastavení, jednoduše přepněte zpět na HTTP-REDIRECT a znovu nahrajte metadata do prostředí ADFS.

Ostatní poskytovatelé identity:

  1. Zobrazení chyby 400 znamená, že váš poskytovatel identity odmítl úspěšné přihlášení.
  2. Vyhledejte v protokolech poskytovatele identity zdroj této chyby.
  3. Problém opravte a pokus opakujte.

Chyba: „403 nefunkční certifikát“

Chyba: „403 app_not_configured_for_user“

Aktualizujte ID entity v konzoli Google Console. Poté exportujte soubor metadat a nahrajte ho do Adobe Admin Console.

Chyba: „k tomuto teď nemáte přístup“ nebo „odtud se tam nemůžete dostat“

K této chybě obvykle dochází, když má organizace u poskytovatele identity zapnuté zásady podmíněného přístupu.

Pokud k nasazení produktů používáte spravované balíčky, vytvořte spravovaný balíček v konzoli Adobe Admin Console výběrem možnosti ověřování na základě prohlížeče. Poté ho nasaďte na zařízení uživatele.

Pokud ne, uživatelé mohou otevřít aplikaci pro počítače Creative Cloud a vybrat možnost Přihlásit se pomocí prohlížeče v nabídce Nápověda.

Chyba: „Aplikace není přiřazena“

V tomto případě musí správce přidat uživatele do aplikace Adobe SAML vytvořené u poskytovatele identity. Naučte se vytvářet aplikaci Adobe SAML v konzoli Google Admin console nebo Microsoft Azure Portal.

Chyba: „K této službě nemáte přístup. Chcete-li získat přístup nebo se přihlásit pomocí Adobe ID, kontaktujte svého správce IT“

Zkontrolujte protokoly SAML, protože uživatelské jméno nebo e-mailová adresa odesílaná v rámci kontroly SAML se neshodují s informacemi zadanými v konzoli Admin Console.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?