Příručka uživatele Zrušit

Řešení chyb přihlášení k Federated ID (SSO)

Řešení běžných chyb ověřování, ověřování konfigurací a odstraňování problémů s přihlášením souvisejících s Federated ID (SSO) v produktech Adobe. Získejte tipy, jak opravit chyby SAML, problémy s certifikáty a další problémy s ověřováním.

Poznámka:

Pokud vaše organizace nastavila jednotné přihlašování prostřednictvím Google Federation nebo Microsoft Azure Sync, přečtěte si následující články:

Přehled

Po úspěšné konfiguraci jednotného přihlašování v konzoli Adobe Admin Console se ujistěte, že jste vybrali možnost Stáhnout soubor s metadaty Adobe a že jste soubor s metadaty XML SAML uložili do počítače. Váš poskytovatel identity potřebuje tento soubor k povolení jednotného přihlašování. Naimportujte podrobnosti konfigurace XML řádně do svého poskytovatele identity (IdP). Je to nutné kvůli integraci protokolu SAML s vaším zprostředkovatelem identity a je tím zaručeno, že budou data nakonfigurována správně.

V případě dotazů k používání souboru s metadaty XML SAML ke konfiguraci poskytovatele identity se obraťte přímo na svého poskytovatele identity. Obdržené pokyny se mohou u jednotlivých poskytovatelů identity lišit.

Stáhněte soubor s metadaty Adobe

Řešení nejběžnějších problémů

Problémy s jednotným přihlašováním jsou často způsobeny základními chybami, které lze snadno přehlédnout. Zkontrolujte zejména následující oblasti:

  • Uživatel je přiřazen k profilu produktu s potřebným oprávněním.
  • Uživatelské jméno odeslané do SAML se shoduje s uživatelským jménem na řídicím panelu podniku.
  • Zkontrolujte všechny položky v konzoli Admin Console a u vašeho poskytovatele identity, zda neobsahují překlepy nebo syntaktické chyby.
  • Aplikace Creative Cloud pro počítače byla aktualizována na nejnovější verzi.
  • Uživatel se přihlašuje na správném místě (aplikace Creative Cloud pro stolní počítače, aplikace Creative Cloud nebo Adobe.com).

Řešení dalších běžných chyb

Chyba: „Došlo k chybě“ s dostupným tlačítkem „Zkusit znovu“

K této chybě obvykle dochází po úspěšném ověření uživatele, kdy poskytovatel Okta úspěšně předá odpověď na ověření společnosti Adobe.

V konzoli Adobe Admin Console ověřte následující:

Na kartě Identita:

  • Zajistěte, že je přidružená doména aktivní.

Na kartě Produkty:

  • Ujistěte se, že je uživatel přiřazen ke správné přezdívce produktu a v doméně s deklarací konfigurace Federated ID.
  • Ujistěte se, zda byla přezdívce produktu přiřazena správná oprávnění.

Na kartě Uživatelé:

  • Ujistěte se, že uživatelské jméno uživatele má podobu úplné e-mailové adresy.

Chyba: „Přístup zamítnut“ při přihlašování

Možné příčiny této chyby:

  • Uživatelské jméno nebo e-mailová adresa odesílaná v rámci kontroly SAML se neshodují s informacemi zadanými v konzoli Admin Console.
  • Uživatel není přiřazen ke správnému produktu nebo produkt není přiřazen ke správným oprávněním.
  • Uživatelské jméno SAML je uvedeno v jiné podobě než ve formě e-mailové adresy. Všichni uživatelé se musí nacházet v doméně, kterou jste deklarovali v rámci instalace.
  • Váš klient pro jednotné přihlašování používá jako součást procesu přihlášení JavaScript. Vy se ale pokoušíte přihlásit ke klientovi, který JavaScript nepodporuje.

Řešení:

  • Zkontrolujte uživatelské jméno a e-mail v konzoli Adobe Admin Console a porovnejte hodnotu s atributem NameID a Email v protokolech SAML.
  • Ověřte konfiguraci řídicího panelu pro uživatele: informace o uživateli a profil produktu.
  • Aktivujte trasování SAML a ověřte, zda se odesílané informace shodují s informacemi na řídicím panelu. Poté odstraňte všechny nesrovnalosti.

Chyba: „Aktuálně je přihlášen jiný uživatel“

K chybě „Aktuálně je přihlášen jiný uživatel“ dochází v případě, že atributy odeslané v rámci kontroly SAML neodpovídají e-mailové adrese, která byla použita k zahájení procesu přihlášení.

Spusťte trasování SAML Traceujistěte se, že e-mailová adresa uživatele pro přihlášení odpovídá následujícímu:

  • e-mailová adresa uživatele uvedená v konzoli Admin Console;
  • uživatelské jméno poskytované v poli NameID v rámci kontroly SAML.

Chyba „Vydavatel v rámci kontroly SAML neodpovídá vydavateli nakonfigurovanému pro poskytovatele identity“

Vydavatel IDP v rámci kontroly SAML se liší od vydavatele nakonfigurovaného v rámci příchozího SAML. Zkontrolujte případné překlepy (například http vs. https). Při kontrole řetězce s vydavatelem IDP a systémem SAML zákazníka je nezbytná přesná shoda se zadaným řetězcem. K tomuto problému někdy dochází v případě, že na konci chybí lomítko.​​

Pokud s touto chybou potřebujete pomoct, uveďte trasování SAML trace a hodnoty zadané na řídicím panelu Adobe.

Chyba „Digitální podpis v rámci kontroly SAML nebyl ověřen za použití certifikátu poskytovatele identity“

K tomuto problému dochází v případě, že vypršela platnost certifikátu vašeho adresáře. Pokud budete chtít certifikát aktualizovat, musíte si stáhnout certifikát nebo metadata od poskytovatele identity a nahrát je do konzole Adobe Admin Console.

Pokud jako poskytovatele identity používáte Microsoft AD FS, postupujte následovně:

  1. Otevřete aplikaci AD FS pro správu na svém serveru a ve složce AD FS > Služba > Koncové body vyberte možnost Metadata federace.

  2. V prohlížeči přejděte na adresu URL pro příslušná metadata federace a stáhněte soubor. Například https://<název hostitele AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Poznámka:

    Potvrďte případná upozornění.

  3. Na kartě Nastavení v konzoli Admin Console přejděte k možnosti Nastavení identityAdresáře. Vyberte adresář, který chcete aktualizovat, a klikněte na tlačítko Konfigurovat na kartě Poskytovatel SAML.

    Poté soubor s metadaty IdP nahrajte a klikněte na tlačítko Uložit.

Chyba „Aktuální čas předchází časovému rozsahu určenému v podmínkách kontrolního výrazu“

Server IdP se systémem Windows:

1. Ujistěte se, zda jsou systémové hodiny synchronizovány pomocí přesného časového serveru.

Pomocí následujícího příkazu zkontrolujte přesnost systémových hodin vůči časovému serveru (hodnota „Posun fáze“ by měla být malým zlomkem sekundy):

w32tm /query /status /verbose

Synchronizaci systémových hodin s časovým serverem můžete provést okamžitě za použití následujícího příkazu:

w32tm /resync

Pokud jsou systémové hodiny nastaveny správně, ale výše uvedená chyba přetrvá, bude pravděpodobně nutné upravit nastavení časového posunu, aby se zvýšila tolerance rozdílu mezi hodinami serveru a klienta.

2. Navyšte povolený rozdíl v systémových hodinách mezi servery.

V okně Powershell s oprávněním správce nastavte povolenou hodnotu posunu na 2 minuty. Zkontrolujte, zda se můžete přihlásit, a poté podle výsledků hodnotu dále zvyšte nebo snižte.

Pomocí následujícího příkazu určete aktuální nastavení časového posunu pro příslušnou důvěryhodnost závislé strany:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Důvěryhodnost závislé strany je identifikována dle adresy URL uvedené v poli „Identifikátor“ na výstupu předchozího příkazu pro danou konfiguraci. Tato adresa URL se také zobrazí v nástroji ADFS pro správu, konkrétně v okně s vlastnostmi příslušné důvěryhodnosti závislé strany na kartě „Identifikátor“ v poli „Důvěryhodnost závislé strany“, jak můžete vidět na následujícím obrázku.

Pomocí následujícího příkazu nastavte časový posun na 2 minuty a odpovídajícím způsobem nahraďte adresu identifikátoru:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

Server IdP se systémem UNIX

O správnosti nastavení systémových hodin se ujistěte buď pomocí služby „ntpd“, nebo ručně pomocí příkazu „ntpdate“ z kořenového shellu nebo pomocí příkazu „sudo“, jak můžete vidět dále (mějte na paměti, že pokud je časový posun větší než 0,5 sekundy, ke změně nedojde okamžitě, ale pomalu se přenastaví systémové hodiny). Zkontrolujte také správné nastavení časového pásma.

# ntpdate -u pool.ntp.org

Poznámka:

Tento příkaz lze použít u poskytovatelů identit, jako je Shibboleth.

Chyba: 401 neautorizované přihlašovací údaje

K této chybě dojde v případě, že aplikace nepodporuje federované přihlášení a vyžaduje přihlášení Adobe ID. Příkladem aplikací s tímto požadavkem jsou FrameMaker, RoboHelp a Adobe Captivate.

Chyba „Příchozí přihlášení SAML se nezdařilo se zprávou: Odpověď SAML neobsahovala kontrolu“

​Zkontrolujte pracovní postup přihlášení.  Pokud máte přístup k přihlašovací stránce na jiném počítači nebo v síti, ale interně není přístup možný, příčinou problému může být řetězec agenta bloku.  Aktivujte také trasování SAML a ujistěte se, že jméno, příjmení a uživatelské jméno mají správný formát e-mailové adresy​​ v předmětu SAML.

Chyba: „400 nesprávný požadavek“ nebo „Stav požadavku SAML nebyl úspěšný“ nebo „Certifikace SAML se nezdařila“

Ověřte, že bylo odesláno správné vyhodnocení SAML:

  • Absence elementu NameID v předmětu. Ověřte, že element předmětu obsahuje prvek NameId. Tento element musí být shodný s atributem Email, tedy s e-mailovou adresou uživatele, u kterého chcete provést ověření.
  • Ověřte možné překlepy, především snadno přehlédnutelné chyby jako je „https“ namísto „http“.
  • Ověřte, zda byl uveden správný certifikát. Poskytovatele identity je třeba nakonfigurovat tak, aby používali nekomprimovaný požadavek/odpovědi SAML.

Nástroje, jako je např. SAML Tracer pro prohlížeč Firefox, vám mohou pomoci dekomprimovat výsledky kontroly a umožnit tak jejich kontrolu. Pokud se obrátíte o pomoc na péči o zákazníky společnosti Adobe, budete požádáni o tento soubor. Podrobnosti viz téma Používání trasování SAML.

Následující funkční příklad vám může pomoci ke správnému naformátování kontroly SAML:

Stáhnout

Microsoft ADFS:

  1. Každý z účtů Active Directory musí mít k úspěšnému přihlášení definovanou e-mailovou adresu ve službě Active Directory (protokol událostí: Odpověď SAML nemá v rámci kontroly uvedeno NameId). Nejprve zkontrolujte tuto skutečnost.
  2. Otevřete řídicí panel
  3. Klikněte na kartu Identita a na doménu.
  4. Klikněte na tlačítko Upravit konfiguraci.
  5. Vyhledejte vazbu poskytovatele identity. Přejděte na HTTP-POST a nastavení uložte. 
  6. Znovu otestujte možnost přihlášení.
  7. Pokud vše funguje správně, ale dali byste přednost předchozímu nastavení, jednoduše přepněte zpět na HTTP-REDIRECT a znovu nahrajte metadata do prostředí ADFS.

Ostatní poskytovatelé identity:

  1. Zobrazení chyby 400 znamená, že váš poskytovatel identity odmítl úspěšné přihlášení.
  2. Vyhledejte v protokolech poskytovatele identity zdroj této chyby.
  3. Problém opravte a pokus opakujte.

Chyba: „403 nefunkční certifikát“

Chyba: „403 app_not_configured_for_user“

Aktualizujte ID entity v konzoli Google Console. Poté exportujte soubor metadat a nahrajte ho do Adobe Admin Console.

Chyba: „k tomuto teď nemáte přístup“ nebo „odtud se tam nemůžete dostat“

K této chybě obvykle dochází, když má organizace u poskytovatele identity zapnuté zásady podmíněného přístupu.

Pokud k nasazení produktů používáte spravované balíčky, vytvořte spravovaný balíček v konzoli Adobe Admin Console výběrem možnosti ověřování na základě prohlížeče. Poté ho nasaďte na zařízení uživatele.

Pokud ne, uživatelé mohou otevřít aplikaci pro počítače Creative Cloud a vybrat možnost Přihlásit se pomocí prohlížeče v nabídce Nápověda.

Chyba: „Aplikace není přiřazena“

V tomto případě musí správce přidat uživatele do aplikace Adobe SAML vytvořené u poskytovatele identity. Naučte se vytvářet aplikaci Adobe SAML v konzoli Google Admin console nebo Microsoft Azure Portal.

Chyba: „K této službě nemáte přístup. Chcete-li získat přístup nebo se přihlásit pomocí Adobe ID, kontaktujte svého správce IT“

Zkontrolujte protokoly SAML, protože uživatelské jméno nebo e-mailová adresa odesílaná v rámci kontroly SAML se neshodují s informacemi zadanými v konzoli Admin Console.

Získejte pomoc rychleji a snáze

Nový uživatel?