Základní informace

Při pokusu o přihlášení k produktům, službám nebo mobilním aplikacím společnosti Adobe pomocí účtu Federated ID (jednotného přihlašování) se zobrazí některá z následujících chybových zpráv.

Po úspěšné konfiguraci funkce jednotného přihlašování (SSO) v konzole pro správu produktů společnosti Adobe je nutné kliknout na odkaz Stáhnout metadata a uložit soubor metadat SAML XML do počítače. Zprostředkovatel identity tento soubor potřebuje k povolení jednotného přihlašování. Podrobnosti o konfiguraci XML je třeba správně importovat do zprostředkovatele identity. Je to nutné kvůli integraci protokolu SAML s vaším zprostředkovatelem identity a je tím zaručeno, že budou data nakonfigurována správně.

Zde jsou některé běžné problémy konfigurace:

  • Certifikát je v jiném formátu než PEM.
  • Certifikát má jinou příponu než CER. Certifikáty s příponou PEM a CERT nefungují.
  • Certifikát je šifrovaný.
  • Certifikát je v jednořádkovém formátu. Je vyžadován víceřádkový formát.
  • Je zapnuta kontrola odvolání certifikátů (tato funkce není momentálně podporována).
  • Vydavatel tokenu pro ověření identity není v protokolu SAML zadán stejně jako v konzole pro správu (například kvůli chybnému pravopisu, chybějícím znakům či záměně řetězců https a http).

Pokud máte ohledně konfigurace zprostředkovatele identity pomocí souboru metadat SAML XML nějaké dotazy, požádejte o příslušné pokyny přímo svého zprostředkovatele identity.

Zde jsou některé příklady pro konkrétní zprostředkovatele identity (nejedná se o úplný seznam – lze použít jakéhokoli zprostředkovatele identity kompatibilního s protokolem SAML 2):

Okta: Data nakonfigurujte ručním zadáním požadovaných informací uvedených v souboru XML do příslušných polí uživatelského rozhraní.

Ping Federate: Nahrajte soubor XML nebo zadejte data do příslušných polí uživatelského rozhraní.

Microsoft AD FS: Certifikát musí být ve formátu PEM, ale výchozím formátem pro službu AD FS je formát DER. Certifikát můžete převést pomocí příkazu openssl, který se v systému OS X, Windows nebo Linux používá následujícím způsobem:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Po provedení výše uvedeného kroku certifikát CER přejmenujte.

Pokud používáte více certifikátů, je také nutné zajistit, aby byl použit ten správný. Musí být stejný jako ten, který bude používán k podepisování žádostí. (Jestliže budou žádosti podepisovány například pomocí podpisového certifikátu tokenu, je třeba použít tento certifikát.) Musí být vypnuta kontrola odvolání certifikátů.

Pokud jste svého zprostředkovatele identity nakonfigurovali podle vás správně, vyzkoušejte v závislosti na zobrazené chybové zprávě jedno nebo více z následujících řešení.

Odkaz Stáhnout metadata

Základní postup při odstraňování problémů

Problémy s jednotným přihlašováním jsou často způsobeny těmi nejzákladnějšími chybami, které lze snadno přehlédnout. Zkontrolujte zejména následující skutečnosti:

  • Uživatel je přiřazen ke konfiguraci produktu s určitým oprávněním.
  • Jméno, příjmení a e-mailová adresa uživatele jsou v protokolu SAML odesílány přesně tak, jak se zobrazují na řídicím panelu Enterprise Dashboard, a jsou uvedeny v protokolu SAML se správným popiskem.
  • V žádných záznamech v konzole pro správu a u zprostředkovatele identity nejsou pravopisné chyby nebo chyby syntaxe.
  • Počítačová aplikace Creative Cloud byla aktualizována na nejnovější verzi.
  • Uživatel se přihlašuje tam, kam má (počítačová aplikace CC, aplikace služby CC nebo web adobe.com).

Chybová zpráva informující o tom, že došlo k chybě, a obsahující tlačítko Zkusit znovu

Vyskytla se chyba – ZKUSIT ZNOVU

K této chybě dochází obvykle poté, co je uživatel úspěšně ověřen a zprostředkovatel Okta úspěšně předá ověřovací odpověď společnosti Adobe.

konzole pro správu produktů společnosti Adobe ověřte následující skutečnosti:

Na kartě Identita:

  • Zkontrolujte, zda byla aktivována přidružená doména.

Na kartě Produkty:

  • Zkontrolujte, zda je uživatel přidružen ke správné přezdívce pro produkt a v doméně, při jejíž deklaraci bylo nastaveno, že bude nakonfigurována jako federovaná identita (Federated ID).
  • Zkontrolujte, zda jsou k přezdívce pro daný produkt přiřazena správná oprávnění.

Na kartě Uživatelé:

  • Zkontrolujte, zda je uživatelské jméno daného uživatele ve formátu úplné e-mailové adresy.

Chyba přihlášení indikovaná zprávou o odepření přístupu

Chybová zpráva informující o odepření přístupu

Možné příčiny této chyby:

  • Jméno, příjmení nebo e-mailová adresa uživatele odesílaná v kontrolním výrazu SAML neodpovídá informacím zadaným v konzole pro správu.
  • Uživatel není přidružen ke správnému produktu nebo produkt není přidružen pomocí správného oprávnění.
  • Uživatelské jméno SAML nevypadá jako e-mailová adresa. Všichni uživatelé musí být v doméně, kterou jste deklarovali v rámci procesu nastavení.
  • Klient jednotného přihlašování využívá při procesu přihlašování jazyk JavaScript a vy se pokoušíte přihlásit ke klientovi, který jazyk JavaScript nepodporuje (například k nástroji Creative Cloud Packager).

Postup řešení:

  • Ověřte konfiguraci řídicího panelu pro příslušného uživatele: informace o uživateli a konfiguraci produktu.
  • Spusťte trasování SAML a ověřte, zda odesílané informace odpovídají informacím na řídicím panelu, a případné nesrovnalosti opravte.

Chyba způsobená tím, že je aktuálně přihlášen jiný uživatel

K chybě indikované zprávou, že je aktuálně přihlášen jiný uživatel, dochází v případě, že atributy odesílané v kontrolním výrazu SAML neodpovídají e-mailové adrese použité při zahájení procesu přihlašování.

Zkontrolujte atributy v kontrolním výrazu SAML a ujistěte se, že přesně odpovídají identifikátoru, který se uživatel snaží použít, a také informacím uvedeným v konzole pro správu.

Chyba způsobená tím, že se volání nepodařilo nastavit jako objekt zabezpečení systému nebo že se nepodařilo vytvořit uživatele

Chybová zpráva informující o tom, že se volání nepodařilo nastavit jako objekt zabezpečení systému (následovaná náhodným kódem) nebo že se nepodařilo vytvořit uživatele, značí problém s atributy SAML. Ujistěte se, že jste v názvech atributů FirstName, LastName, Email správně použili velká a malá písmena (v názvech jsou totiž rozlišována velká a malá písmena). Chybu může například způsobit to, když atribut končí řetězcem email místo Email.

K těmto chybám může docházet také v případě, že kontrolní výraz SAML neobsahuje v elementu Subject > NameId e-mail uživatele (při použití doplňku SAML Tracer by měl mít formát emailAddress a skutečný e-mail by měl být ve formátu textové hodnoty).  

Pokud budete potřebovat pomoc od podpory společnosti Adobe, připojte soubor trasování SAML.

 

Chyba způsobená tím, že vydavatel v odpovědi SAML neodpovídal vydavateli nakonfigurovanému pro daného zprostředkovatele identity

Vydavatel tokenu pro ověření identity v kontrolním výrazu SAML je odlišný od vydavatele nakonfigurovaného v příchozím protokolu SAML. Zkontrolujte překlepy (například záměnu řetězců http a https). Při kontrole řetězce vydavatele tokenu pro ověření identity v systému SAML zákazníka hledáte PŘESNOU shodu s poskytnutým řetězcem. K tomuto problému někdy dochází kvůli chybějícímu lomítku na konci.

Pokud budete potřebovat s vyřešením této chyby pomoci, poskytněte soubor trasování SAML a hodnoty zadané na řídicím panelu společnosti Adobe.

Chyba způsobená tím, že digitální podpis v odpovědi SAML nebyl s příslušným certifikátem zprostředkovatele identity ověřen

Soubor certifikátu je s největší pravděpodobností nesprávný nebo je potřeba jej znovu nahrát. K tomuto problému obecně dochází poté, co byla provedena nějaká změna, a správce tak odkazuje na nesprávný soubor certifikátu.  Zkontrolujte také typ formátu (pro službu AD FS to musí být formát PEM).

Chyba způsobená tím, že aktuální čas předchází časovému rozsahu zadanému v podmínkách kontrolního výrazu

Systém Windows:

Opravte systémové hodiny nebo upravte hodnotu časového posunu.

Nastavení systémového času:

Zkontrolujte systémové hodiny pomocí tohoto příkazu:

w32tm /query /status

Systémové hodiny na serveru Windows Server můžete opravit pomocí následujícího příkazu:

w32tm /resync

Pokud jsou systémové hodiny nastaveny správně, bude pravděpodobně třeba nastavit toleranci pro rozdíl mezi zprostředkovatelem identity a systémem, který provádí ověřování.

Posun hodin

Začněte nastavením přípustné hodnoty posunu na 2 minuty. Zkontroluje, zda se můžete připojit, a v závislosti na výsledku danou hodnotu zvyšte nebo snižte. Podrobnosti najdete ve znalostní bázi společnosti Microsoft

Shrnutí: V prostředí Powershell můžete spustit následující příkazy:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Zobrazení původních hodnot pro referenci
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Nastavení posunu na 2 minuty

kde parametr urn:party:sso je jeden z identifikátorů přijímající strany.

Poznámka: Chcete-li získat všechny objekty vztahu důvěryhodnosti přijímající strany, můžete použít rutinu Get-ADFSRelyingPartyTrust bez parametrů.

Unixové systémy:

Ujistěte se, zda jsou systémové hodiny nastaveny správně. Můžete k tomu použít například následující příkaz:

ntpdate -u pool.ntp.org

Příjemce zadaný v elementu SubjectConfirmation neodpovídal ID entity našeho poskytovatele služeb

Zkontrolujte atributy. Velikost písmen těchto atributů musí přesně odpovídat následujícímu zápisu: FirstName, LastName, Email. Tato chybová zpráva může označovat, že velikost písmen některého z atributů není správná. Místo atributu Email je například použit atribut email.  Zkontrolujte také hodnotu elementu Recipient. Měla by obsahovat řetězec ACS.

Řetězec ACS

Chyba 401 – neautorizované přihlašovací údaje

K této chybě dochází v případě, že aplikace nepodporuje federované přihlašování a je nutné se k ní přihlásit pomocí účtu Adobe ID. K aplikacím s tímto požadavkem patří například aplikace Framemaker, RoboHelp a Captivate.

Chyba způsobená neúspěšným přihlášením pomocí příchozího protokolu SAML a informující o tom, že odpověď SAML neobsahovala žádné kontrolní výrazy

Zkontrolujte pracovní postup přihlášení.  Pokud můžete získat přístup k přihlašovací stránce v jiném počítači nebo síti, nikoli však interně, může být problém v identifikačním řetězci prohlížeče.  Spusťte také trasování SAML a ověřte, že je v předmětu SAML uvedeno jméno, příjmení a uživatelské jméno v podobě správně naformátované e-mailové adresy.

Chyba 400 – chybná žádost / Chyba způsobená neúspěšným stavem žádosti SAML / Neúspěšné ověření certifikace SAML

Chyba 400 – chybná žádost

Ověřte, zda je odesílán správný kontrolní výraz SAML:

  • Ověřte, zda zprostředkovatel identity předává v kontrolním výrazu SAML následující atributy (jsou v nich rozlišována velká a malá písmena): FirstName, LastName, Email. Pokud nejsou tyto atributy ve zprostředkovateli identity nakonfigurovány tak, aby byly odesílány jako součást konfigurace konektoru SAML 2.0, nebude ověřování fungovat.
  • V předmětu chybí element NameID. Ověřte, že element Subject obsahuje element NameId. Musí být shodný s atributem Email, což by měla být e-mailová adresa uživatele, kterého chcete ověřit.
  • Zkontrolujte pravopisné chyby, zejména ty, které lze snadno přehlédnout, například záměnu řetězců https a http.
  • Ověřte, zda byl poskytnut správný certifikát. Zprostředkovatelé identity musí být nakonfigurováni tak, aby používali nekomprimované žádosti/odpovědi SAML. Příchozí protokol SAML od zprostředkovatele Okta funguje pouze s nekomprimovaným nastavením (nikoli s komprimovaným nastavením).

S rozbalením kontrolního výrazu a jeho zobrazením ke kontrole vám může pomoci například nástroj SAML Tracer pro prohlížeč Firefox. Pokud budete potřebovat pomoc od podpory společnosti Adobe, budete požádáni o výstupní soubor tohoto nástroje. 

Při formátování kontrolního výrazu SAML vám může pomoci následující funkční příklad:

Stáhnout

V případě služby Microsoft AD FS:

  1. K úspěšnému přihlášení je nutné, aby byla pro každý účet služby Active Directory v adresáři Active Directory uvedena e-mailová adresa – zpráva v protokolu událostí: The SAML response does not have NameId in the assertion (V kontrolním výrazu odpovědi SAML není element NameId). Tuto skutečnost zkontrolujte nejdříve.
  2. Přejděte na řídicí panel
  3. Klikněte na kartu Identita a na příslušnou doménu.
  4. Klikněte na možnost Upravit konfiguraci.
  5. Najděte položku Vazba IDP. Přepněte na možnost HTTP-POST a potom uložte. 
  6. Vyzkoušejte přihlašování znovu.
  7. Pokud funguje, ale dáváte přednost předchozímu nastavení, stačí přepnout zpět na možnost HTTP-REDIRECT a znovu nahrát metadata do služby AD FS.

V případě ostatních zprostředkovatelů identity:

  1. Pokud dojde k chybě 400, znamená to, že úspěšné přihlášení bylo vaším zprostředkovatelem identity odmítnuto.
  2. V protokolech zprostředkovatele identity najděte příčinu chyby.
  3. Příslušný problém odstraňte a zkuste to znovu.

Konfigurace služby Microsoft AD FS

Podrobné pokyny najdete v článku věnovaném konfiguraci služby Microsoft AD FS.

Pokud má klient Mac ve službě Creative Cloud prázdné okno, zkontrolujte, zda je uživatelský agent „Creative Cloud“ důvěryhodný.

Konfigurace služeb Microsoft Azure

Podrobné pokyny najdete v článku věnovaném konfiguraci služeb Microsoft Azure.

Konfigurace služby OneLogin

Podrobné pokyny najdete v článku věnovaném konfiguraci služby OneLogin.

Konfigurace služby Okta

Podrobné pokyny najdete v článku věnovaném konfiguraci služby Okta.

Tato práce podléhá licenci Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Na příspěvky ze služeb Twitter™ a Facebook se nevztahují podmínky licence Creative Commons.

Právní upozornění   |   Zásady ochrany osobních údajů online