Otevřete aplikaci AD FS pro správu na svém serveru a ve složce AD FS > Služba > Koncové body vyberte možnost Metadata federace.
- Příručka pro správu podnikových a týmových produktů Adobe
- Plánování nasazení
- Základní koncepty
- Průvodci nasazením
- Nasazení produktů Creative Cloud pro vzdělávací instituce
- Úvodní stránka nasazení
- K-12 Průvodce zaškolením
- Jednoduché nastavení
- Synchronizace uživatelů
- Synchronizace seznamu K-12 (USA)
- Klíčové licenční koncepty
- Možnosti nasazení
- Rychlé tipy
- Schvalování aplikací Adobe v konzoli Google Admin Console
- Povolení aplikace Adobe Express v nástroji Google Classroom
- Integrace pomocí Canvas LMS
- Integrace pomocí Blackboard Learn
- Konfigurace jednotného přihlašování pro školní portály a systémy pro vedení výuky
- Přidání uživatelů prostřednictvím synchronizace seznamu
- Nejčastější dotazy ke službě Kivuto
- Pokyny pro způsobilost základních a středních škol
- Nastavit vaši organizaci
- Typy identit | Přehled
- Nastavení identity | Přehled
- Nastavení organizace pomocí Enterprise ID
- Nastavení federace Azure AD a synchronizace
- Nastavte Google Federation a synchronizujte
- Nastavení organizace prostřednictvím Microsoft ADFS
- Nastavení organizace pro školní portály a systémy pro vedení výuky
- Nastavení organizace s jinými poskytovateli identity
- Běžné dotazy a řešení potíží s jednotným přihlašováním
- Správa a nastavení organizace
- Správa stávajících domén a adresářů
- Povolení automatického vytváření účtu
- Nastavení organizace prostřednictvím důvěryhodnosti adresáře
- Přechod na nového poskytovatele autentizace
- Nastavení datových zdrojů
- Nastavení ověřování
- Ochrana osobních údajů a bezpečnostní kontakty
- Nastavení konzole
- Správa šifrování
- Správa stávajících domén a adresářů
- Správa uživatelů
- Přehled
- Role pro správu
- Strategie správy uživatelů
- Přiřazení licencí uživateli v týmu
- Správa uživatelů v aplikaci pro týmy
- Přidání uživatelů s odpovídajícími e-mailovými doménami
- Změna typu identity uživatele
- Správa skupin uživatelů
- Správa uživatelů v adresáři
- Správa vývojářů
- Přesun stávajících uživatelů do konzole Adobe Admin Console
- Přesun správy uživatelů do konzole Adobe Admin Console
- Přehled
- Správa produktů a oprávnění
- Správa produktů a jejich profilů
- Spravovat produkty
- Zakoupení produktů a licencí
- Správa profilů produktů pro podnikové uživatele
- Správa pravidel automatického přiřazování
- Zmocnění uživatelů trénovat vlastní modely Firefly
- Zkontrolovat žádosti o produkt
- Správa zásad samoobsluhy
- Správa integrací do aplikací
- Správa oprávnění k produktům v konzoli Admin Console
- Povolení/zakázání služeb pro profil produktu
- Jedna aplikace | Creative Cloud pro podniky
- Volitelné služby
- Správa licencí pro sdílená zařízení
- Správa produktů a jejich profilů
- Začínáme s konzolí Global Admin Console
- Přechod na globální správu
- Výběr organizace
- Správa organizační hierarchie
- Správa profilů produktu
- Správa správců
- Správa skupin uživatelů
- Aktualizace zásad organizace
- Správa šablon zásad
- Přidělení produktů podřízeným organizacím
- Provedení nevyřízených úloh
- Prozkoumejte vhledy
- Export nebo import organizační struktury
- Správa úložiště a položek
- Úložiště
- Migrace datových zdrojů
- Převzetí datových zdrojů od uživatele
- Přenesení studentských datových zdrojů | Pouze EDU
- Správa služeb
- Adobe Stock
- Vlastní písma
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud pro podniky – bezplatné členství
- Nasazení aplikací a aktualizací
- Přehled
- Vytváření balíčků
- Přizpůsobení balíčků
- Nasazování balíčků
- Nasazování balíčků
- Nasazování balíčků Adobe pomocí služby Microsoft Intune
- Nasazování balíčků Adobe pomocí nástroje SCCM
- Nasazování balíčků produktů Adobe pomocí nástroje ARD
- Instalace produktů do složky Výjimky
- Odinstalování produktů Creative Cloud
- Použití podnikové edice sady nástrojů Adobe Provisioning Toolkit
- Nasazování balíčků
- Správa aktualizací
- Adobe Update Server Setup Tool (AUSST)
- Nástroj Remote Update Manager (RUM)
- Řešení problémů
- Správa účtu Teams
- Prodlužování
- Správa smluv
- Zprávy a protokoly
- Zažádat o asistenci
Řešení běžných chyb ověřování, ověřování konfigurací a odstraňování problémů s přihlášením souvisejících s Federated ID (SSO) v produktech Adobe. Získejte tipy, jak opravit chyby SAML, problémy s certifikáty a další problémy s ověřováním.
Pokud vaše organizace nastavila jednotné přihlašování prostřednictvím Google Federation nebo Microsoft Azure Sync, přečtěte si následující články:
Přehled
Po úspěšné konfiguraci jednotného přihlašování v konzoli Adobe Admin Console se ujistěte, že jste vybrali možnost Stáhnout soubor s metadaty Adobe a že jste soubor s metadaty XML SAML uložili do počítače. Váš poskytovatel identity potřebuje tento soubor k povolení jednotného přihlašování. Naimportujte podrobnosti konfigurace XML řádně do svého poskytovatele identity (IdP). Je to nutné kvůli integraci protokolu SAML s vaším zprostředkovatelem identity a je tím zaručeno, že budou data nakonfigurována správně.
V případě dotazů k používání souboru s metadaty XML SAML ke konfiguraci poskytovatele identity se obraťte přímo na svého poskytovatele identity. Obdržené pokyny se mohou u jednotlivých poskytovatelů identity lišit.
Řešení nejběžnějších problémů
Problémy s jednotným přihlašováním jsou často způsobeny základními chybami, které lze snadno přehlédnout. Zkontrolujte zejména následující oblasti:
- Uživatel je přiřazen k profilu produktu s potřebným oprávněním.
- Uživatelské jméno odeslané do SAML se shoduje s uživatelským jménem na řídicím panelu podniku.
- Zkontrolujte všechny položky v konzoli Admin Console a u vašeho poskytovatele identity, zda neobsahují překlepy nebo syntaktické chyby.
- Aplikace Creative Cloud pro počítače byla aktualizována na nejnovější verzi.
- Uživatel se přihlašuje na správném místě (aplikace Creative Cloud pro stolní počítače, aplikace Creative Cloud nebo Adobe.com).
Řešení dalších běžných chyb
Chyba: „Došlo k chybě“ s dostupným tlačítkem „Zkusit znovu“
K této chybě obvykle dochází po úspěšném ověření uživatele, kdy poskytovatel Okta úspěšně předá odpověď na ověření společnosti Adobe.
V konzoli Adobe Admin Console ověřte následující:
Na kartě Identita:
- Zajistěte, že je přidružená doména aktivní.
Na kartě Produkty:
- Ujistěte se, že je uživatel přiřazen ke správné přezdívce produktu a v doméně s deklarací konfigurace Federated ID.
- Ujistěte se, zda byla přezdívce produktu přiřazena správná oprávnění.
Na kartě Uživatelé:
- Ujistěte se, že uživatelské jméno uživatele má podobu úplné e-mailové adresy.
Chyba: „Přístup zamítnut“ při přihlašování
Možné příčiny této chyby:
- Uživatelské jméno nebo e-mailová adresa odesílaná v rámci kontroly SAML se neshodují s informacemi zadanými v konzoli Admin Console.
- Uživatel není přiřazen ke správnému produktu nebo produkt není přiřazen ke správným oprávněním.
- Uživatelské jméno SAML je uvedeno v jiné podobě než ve formě e-mailové adresy. Všichni uživatelé se musí nacházet v doméně, kterou jste deklarovali v rámci instalace.
- Váš klient pro jednotné přihlašování používá jako součást procesu přihlášení JavaScript. Vy se ale pokoušíte přihlásit ke klientovi, který JavaScript nepodporuje.
Řešení:
- Zkontrolujte uživatelské jméno a e-mail v konzoli Adobe Admin Console a porovnejte hodnotu s atributem NameID a Email v protokolech SAML.
- Ověřte konfiguraci řídicího panelu pro uživatele: informace o uživateli a profil produktu.
- Aktivujte trasování SAML a ověřte, zda se odesílané informace shodují s informacemi na řídicím panelu. Poté odstraňte všechny nesrovnalosti.
Chyba: „Aktuálně je přihlášen jiný uživatel“
K chybě „Aktuálně je přihlášen jiný uživatel“ dochází v případě, že atributy odeslané v rámci kontroly SAML neodpovídají e-mailové adrese, která byla použita k zahájení procesu přihlášení.
Spusťte trasování SAML Trace a ujistěte se, že e-mailová adresa uživatele pro přihlášení odpovídá následujícímu:
- e-mailová adresa uživatele uvedená v konzoli Admin Console;
- uživatelské jméno poskytované v poli NameID v rámci kontroly SAML.
Chyba „Vydavatel v rámci kontroly SAML neodpovídá vydavateli nakonfigurovanému pro poskytovatele identity“
Vydavatel IDP v rámci kontroly SAML se liší od vydavatele nakonfigurovaného v rámci příchozího SAML. Zkontrolujte případné překlepy (například http vs. https). Při kontrole řetězce s vydavatelem IDP a systémem SAML zákazníka je nezbytná přesná shoda se zadaným řetězcem. K tomuto problému někdy dochází v případě, že na konci chybí lomítko.
Pokud s touto chybou potřebujete pomoct, uveďte trasování SAML trace a hodnoty zadané na řídicím panelu Adobe.
Chyba „Digitální podpis v rámci kontroly SAML nebyl ověřen za použití certifikátu poskytovatele identity“
K tomuto problému dochází v případě, že vypršela platnost certifikátu vašeho adresáře. Pokud budete chtít certifikát aktualizovat, musíte si stáhnout certifikát nebo metadata od poskytovatele identity a nahrát je do konzole Adobe Admin Console.
Pokud jako poskytovatele identity používáte Microsoft AD FS, postupujte následovně:
-
-
V prohlížeči přejděte na adresu URL pro příslušná metadata federace a stáhněte soubor. Například https://<název hostitele AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.
Poznámka:Potvrďte případná upozornění.
-
Na kartě Nastavení v konzoli Admin Console přejděte k možnosti Nastavení identity > Adresáře. Vyberte adresář, který chcete aktualizovat, a klikněte na tlačítko Konfigurovat na kartě Poskytovatel SAML.
Poté soubor s metadaty IdP nahrajte a klikněte na tlačítko Uložit.
Chyba „Aktuální čas předchází časovému rozsahu určenému v podmínkách kontrolního výrazu“
Server IdP se systémem Windows:
1. Ujistěte se, zda jsou systémové hodiny synchronizovány pomocí přesného časového serveru.
Pomocí následujícího příkazu zkontrolujte přesnost systémových hodin vůči časovému serveru (hodnota „Posun fáze“ by měla být malým zlomkem sekundy):
w32tm /query /status /verbose
Synchronizaci systémových hodin s časovým serverem můžete provést okamžitě za použití následujícího příkazu:
w32tm /resync
Pokud jsou systémové hodiny nastaveny správně, ale výše uvedená chyba přetrvá, bude pravděpodobně nutné upravit nastavení časového posunu, aby se zvýšila tolerance rozdílu mezi hodinami serveru a klienta.
2. Navyšte povolený rozdíl v systémových hodinách mezi servery.
V okně Powershell s oprávněním správce nastavte povolenou hodnotu posunu na 2 minuty. Zkontrolujte, zda se můžete přihlásit, a poté podle výsledků hodnotu dále zvyšte nebo snižte.
Pomocí následujícího příkazu určete aktuální nastavení časového posunu pro příslušnou důvěryhodnost závislé strany:
Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew
Důvěryhodnost závislé strany je identifikována dle adresy URL uvedené v poli „Identifikátor“ na výstupu předchozího příkazu pro danou konfiguraci. Tato adresa URL se také zobrazí v nástroji ADFS pro správu, konkrétně v okně s vlastnostmi příslušné důvěryhodnosti závislé strany na kartě „Identifikátor“ v poli „Důvěryhodnost závislé strany“, jak můžete vidět na následujícím obrázku.
Pomocí následujícího příkazu nastavte časový posun na 2 minuty a odpovídajícím způsobem nahraďte adresu identifikátoru:
Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2
Server IdP se systémem UNIX
O správnosti nastavení systémových hodin se ujistěte buď pomocí služby „ntpd“, nebo ručně pomocí příkazu „ntpdate“ z kořenového shellu nebo pomocí příkazu „sudo“, jak můžete vidět dále (mějte na paměti, že pokud je časový posun větší než 0,5 sekundy, ke změně nedojde okamžitě, ale pomalu se přenastaví systémové hodiny). Zkontrolujte také správné nastavení časového pásma.
# ntpdate -u pool.ntp.org
Tento příkaz lze použít u poskytovatelů identit, jako je Shibboleth.
Chyba: 401 neautorizované přihlašovací údaje
K této chybě dojde v případě, že aplikace nepodporuje federované přihlášení a vyžaduje přihlášení Adobe ID. Příkladem aplikací s tímto požadavkem jsou FrameMaker, RoboHelp a Adobe Captivate.
Chyba „Příchozí přihlášení SAML se nezdařilo se zprávou: Odpověď SAML neobsahovala kontrolu“
Zkontrolujte pracovní postup přihlášení. Pokud máte přístup k přihlašovací stránce na jiném počítači nebo v síti, ale interně není přístup možný, příčinou problému může být řetězec agenta bloku. Aktivujte také trasování SAML a ujistěte se, že jméno, příjmení a uživatelské jméno mají správný formát e-mailové adresy v předmětu SAML.
Ověřte, že bylo odesláno správné vyhodnocení SAML:
- Absence elementu NameID v předmětu. Ověřte, že element předmětu obsahuje prvek NameId. Tento element musí být shodný s atributem Email, tedy s e-mailovou adresou uživatele, u kterého chcete provést ověření.
- Ověřte možné překlepy, především snadno přehlédnutelné chyby jako je „https“ namísto „http“.
- Ověřte, zda byl uveden správný certifikát. Poskytovatele identity je třeba nakonfigurovat tak, aby používali nekomprimovaný požadavek/odpovědi SAML.
Nástroje, jako je např. SAML Tracer pro prohlížeč Firefox, vám mohou pomoci dekomprimovat výsledky kontroly a umožnit tak jejich kontrolu. Pokud se obrátíte o pomoc na péči o zákazníky společnosti Adobe, budete požádáni o tento soubor. Podrobnosti viz téma Používání trasování SAML.
Následující funkční příklad vám může pomoci ke správnému naformátování kontroly SAML:
Stáhnout
Microsoft ADFS:
- Každý z účtů Active Directory musí mít k úspěšnému přihlášení definovanou e-mailovou adresu ve službě Active Directory (protokol událostí: Odpověď SAML nemá v rámci kontroly uvedeno NameId). Nejprve zkontrolujte tuto skutečnost.
- Otevřete řídicí panel.
- Klikněte na kartu Identita a na doménu.
- Klikněte na tlačítko Upravit konfiguraci.
- Vyhledejte vazbu poskytovatele identity. Přejděte na HTTP-POST a nastavení uložte.
- Znovu otestujte možnost přihlášení.
- Pokud vše funguje správně, ale dali byste přednost předchozímu nastavení, jednoduše přepněte zpět na HTTP-REDIRECT a znovu nahrajte metadata do prostředí ADFS.
Ostatní poskytovatelé identity:
- Zobrazení chyby 400 znamená, že váš poskytovatel identity odmítl úspěšné přihlášení.
- Vyhledejte v protokolech poskytovatele identity zdroj této chyby.
- Problém opravte a pokus opakujte.
Chyba: „403 nefunkční certifikát“
Aktualizujte certifikát v konzoli Google Console v aplikaci Adobe SAML a znovu nahrajte soubory metadat do Adobe Admin Console.
Chyba: „403 app_not_configured_for_user“
Aktualizujte ID entity v konzoli Google Console. Poté exportujte soubor metadat a nahrajte ho do Adobe Admin Console.
Chyba: „k tomuto teď nemáte přístup“ nebo „odtud se tam nemůžete dostat“
K této chybě obvykle dochází, když má organizace u poskytovatele identity zapnuté zásady podmíněného přístupu.
Pokud k nasazení produktů používáte spravované balíčky, vytvořte spravovaný balíček v konzoli Adobe Admin Console výběrem možnosti ověřování na základě prohlížeče. Poté ho nasaďte na zařízení uživatele.
Pokud ne, uživatelé mohou otevřít aplikaci pro počítače Creative Cloud a vybrat možnost Přihlásit se pomocí prohlížeče v nabídce Nápověda.
Chyba: „Aplikace není přiřazena“
V tomto případě musí správce přidat uživatele do aplikace Adobe SAML vytvořené u poskytovatele identity. Naučte se vytvářet aplikaci Adobe SAML v konzoli Google Admin console nebo Microsoft Azure Portal.
Chyba: „K této službě nemáte přístup. Chcete-li získat přístup nebo se přihlásit pomocí Adobe ID, kontaktujte svého správce IT“
Zkontrolujte protokoly SAML, protože uživatelské jméno nebo e-mailová adresa odesílaná v rámci kontroly SAML se neshodují s informacemi zadanými v konzoli Admin Console.