Brugerhåndbog Annuller

Afhjælp fejl ved login med Federated ID (SSO)

Afhjælp almindelige godkendelsesfejl, bekræft konfigurationer og fejlfind login-problemer i forbindelse med Federated ID (SSO) i Adobe-produkter. Få tips til at afhjælpe SAML-fejl, certifikatproblemer og andre udfordringer med godkendelse.

Bemærk:

Se følgende artikler, hvis din organisation har opsat SSO via Google Federation eller Microsoft Azure Sync:

Oversigt

Når du har konfigureret SSO i Adobe Admin Console, skal du sørge for at vælge Download Adobe-metadatafil og gemme SAML XML-metadatafilen på din computer. Denne fil er påkrævet af identitetsudbyderen til aktivering af enkeltlogon. Importér XML-konfigurationsoplysningerne korrekt til din identitetsudbyder (IdP). Det kræves for at integrere SAML med din IdP, og det sikrer, at dataene bliver konfigureret korrekt.

Hvis du har spørgsmål til, hvordan du bruger SAML XML-metadatafilen til at konfigurere din IdP, skal du kontakte din IdP direkte for at få instruktioner, som varierer alt efter IdP.

Download Adobe-metadatafil

Grundlæggende fejlfinding

Problemer med enkeltlogon er ofte forårsaget af basale fejl, der er lette at overse. Kontrollér især følgende:

  • Brugeren får tildelt en produktprofil med en brugsret.
  • Det brugernavn, der blev sendt til SAML, matcher brugernavnet i virksomhedens dashboard.
  • Kontrollér alle poster i Admin Console og hos din identitetsudbyder for stave- eller syntaksfejl.
  • Creative Cloud-computerappen er blevet opdateret til den nyeste version.
  • Brugeren logger på det rigtige sted (Creative Cloud-computerappen, en Creative Cloud-app eller Adobe.com)

Løsninger på andre almindelige fejl

Fejlen "Der opstod en fejl" og knappen "Prøv igen"

Denne fejl opstår typisk, efter at brugergodkendelsen er gennemført, og Okta har videresendt godkendelsessvaret til Adobe.

I Adobe Admin Console skal du validere følgende:

Under fanen Identitet:

  • Sørg for, at det tilknyttede domæne er blevet aktiveret.

Under fanen Produkter:

  • Sørg for, at brugeren er tilknyttet det korrekte produktkaldenavn og i det domæne, du har gjort krav på i forbindelse med konfigurationen som Federated ID.
  • Sørg for, at der er tildelt de rigtige brugsrettigheder for produktkaldenavnet.

Under fanen Brugere:

  • Sørg for, at brugernavnet for brugeren er udformet som en komplet e-mailadresse.

Fejlen "Adgang nægtet" under login

Mulige årsager til denne fejl:

  • Det brugernavn eller den e-mailadresse, der blev sendt i SAML-bedømmelsen, stemmer ikke overens med de oplysninger, der er angivet i Admin Console.
  • Brugeren er ikke knyttet til det rigtige produkt, eller produktet er ikke knyttet til den rigtige brugsret.
  • SAML-brugernavnet vises som noget andet end en e-mailadresse. Alle brugere skal være i det domæne, du har gjort krav på som en del af konfigurationsprocessen.
  • Din SSO-klient bruger JavaScript som en del af loginprocessen, og du forsøger at logge på en klient, der ikke understøtter JavaScript.

Sådan løses problemet:

  • Tjek brugernavn og e-mail i Adobe Admin Console, og match værdien med attributterne NameID og Email i SAML-logfilerne.
  • Bekræft dashboard-konfigurationen for brugeren: Brugeroplysninger og produktprofil.
  • Kør en SAML-sporing, og bekræft, at de oplysninger, der sendes, matcher dashboardet. Ret derefter eventuelle uoverensstemmelser.

Fejlen "En anden bruger er logget på i øjeblikket"

Fejlen "En anden bruger er logget på i øjeblikket" opstår, når de attributter, der sendes i SAML-bedømmelsen, ikke stemmer overens med den e-mailadresse, der blev brugt til at starte loginprocessen.

Kør en SAML-sporing, og sørg for, at brugerens e-mailadresse, der bruges til at logge ind, stemmer overens med følgende:

  • Brugerens e-mailadresse, der er angivet i Admin Console
  • Brugerens brugernavn blev videregivet til feltet NameID i SAML-bedømmelsen

Fejlen "Udstederen i SAML-svaret stemte ikke overens med den udsteder, der er konfigureret for identitetsudbyderen"

IDP-udstederen i SAML-bedømmelsen er forskellig fra den, der er konfigureret i den indgående SAML. Kig efter slåfejl (f.eks. http vs https). Når du kontrollerer IDP-udstederstrengen med kundens SAML-system, skal den NØJAGTIGT matche den streng, udstederen har leveret. Dette problem opstår nogle gange, fordi der har manglet en skråstreg til sidst.​​

Hvis du har brug for hjælp med denne fejl, skal du angive et SAML-spor og de værdier, du har angivet på Adobe-dashboardet.

Fejlen "Den digitale signatur i SAML-svaret blev ikke valideret med identitetsudbyderens certifikat"

Dette problem opstår, når dit katalogs certifikat er udløbet. For at opdatere certifikatet skal du downloade certifikatet eller metadataene fra identitetsudbyderen og uploade det i Adobe Admin Console.

Du kan f.eks. følge nedenstående trin, hvis din IdP er Microsoft AD FS:

  1. Åbn AD FS-administrationsappen på din server, gå til mappen AD FS > Service > Slutpunkter, og vælg Føderationsmetadata.

  2. Brug en browser til at navigere til den webadresse, der er angivet for føderationsmetadata, og download filen. Det kan f.eks. være https://<dit AD FS-værtsnavn>/FederationMetadata/2007-06/FederationMetadata.xml.

    Bemærk:

    Accepter eventuelle advarsler, hvis du bliver bedt om det.

  3. Klik fanen Indstillinger i Admin Console, og gå til Indstillinger for identitetKataloger. Vælg den mappe, der skal opdateres, og klik på  Konfigurer på SAML-udbyderens kort.

    Upload derefter IdP-metadatafilen, og klik på Gem.

Fejlen "Det aktuelle tidspunkt ligger før det tidsinterval, der er angivet i bedømmelsesbetingelserne"

Windows-baseret IdP-server:

1. Sørg for, at systemuret er synkroniseret med en nøjagtig tidsserver.

Kontrollér systemurets nøjagtighed i forhold til din tidsserver med denne kommando; Værdien for "Phase Offset" skal være en lille brøkdel af et sekund:

w32tm /query /status /verbose

Du kan gennemføre en øjeblikkelig gensynkronisering af systemuret med tidsserveren via følgende kommando:

w32tm /resync

Hvis systemuret er indstillet korrekt, og du stadig får vist ovenstående fejl, skal du justere tidsforskydningsindstillingen for at øge tolerancen for forskellen mellem ure på tværs af serveren og klienten.

2. Øg den tilladte forskel for systemuret på tværs af servere.

I et Powershell-vindue med administrative rettigheder skal du indstille den tilladte forskydningsværdi til 2 minutter. Kontrollér, om du kan logge på, og vælg en større eller mindre værdien afhængigt af resultatet.

Bestem den aktuelle tidsforskydningsindstilling for den relevante Relying Party Trust med følgende kommando:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Relying Party Trust identificeres af den webadresse, der vises i feltet "Identifikator" for outputtet fra den foregående kommando for den pågældende konfiguration. Denne webadresse vises også i ADFS-administrationsværktøjet i vinduet Egenskaber for den relevante Relying Party Trust under fanen "Identifikatorer" i feltet "Relying Party Trust" som vist på skærmbilledet nedenfor.

Du kan indstille tidsforskydningen til 2 minutter med følgende kommando, hvor identifikatoradressen kan udskiftes i overensstemmelse hermed:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

UNIX-baseret IdP-server

Sørg for, at systemuret er indstillet korrekt, enten ved hjælp af ntpd-tjenesten eller manuelt med kommandoen ntpdate fra en root-shell eller med sudo som vist nedenfor (bemærk, at hvis tiden forskydes med mere end 0,5 sekunder, vil ændringen ikke ske med det samme – systemuret vil langsomt blive korrigeret). Sørg for, at tidszonen også er konfigureret korrekt.

# ntpdate -u pool.ntp.org

Bemærk:

Dette fungerer med identitetsudbydere som Shibboleth.

Fejlen 401 uautoriserede legitimationsoplysninger

Denne fejl opstår, når appen ikke understøtter Federated login og skal logges på med et Adobe ID. FrameMaker, RoboHelp og Adobe Captivate er eksempler på apps med dette krav.

Fejlen "Indgående SAML-login mislykkedes med meddelelsen: SAML-svaret indeholdt ingen bedømmelser"

​Kontrollér logon-arbejdsforløbet.  Hvis du kan få adgang til logonsiden på en anden maskine eller et andet netværk, men ikke internt, kan det skyldes en blokagentstreng.  Kør også en SAML-sporing og kontrollér, at First Name, Last Name og Username er i SAML-emnelinjen som en korrekt formateret e-mailadresse.

Fejlen "400 forkert anmodning" eller "Status for SAML-anmodningen var ikke vellykket" eller "SAML-certificeringsvalidering mislykkedes"

Kontrollér, at det er den rigtige SAML-bedømmelse, der sendes:

  • Der er ikke et NameID-element i emnet. Bekræft, at emneelementet indeholder et NameId-element. Det skal være det samme som egenskaben E-mail, som skal være e-mailadressen på den bruger, du vil godkende.
  • Stavefejl, især dem, der nemt kan overses, f.eks. https vs. http.
  • Bekræft, at det korrekte certifikat er blevet leveret. IDP'er skal konfigureres til at bruge ukomprimerede SAML-anmodninger/svar.

Et værktøj som SAML Tracer kan hjælpe med at pakke bedømmelsen ud og få den vist i forbindelse med inspektion. Hvis du har brug for hjælp fra Adobe Kundepleje, vil du blive bedt om denne fil. Du kan finde flere oplysninger under Sådan udfører du en SAML-sporing.

Følgende eksempel kan hjælpe dig med at formatere din SAML-bedømmelse korrekt:

Download

Med Microsoft ADFS:

  1. Alle Active Directory-konti skal have en e-mailadresse opført i Active Directory for at kunne logge på (hændelseslog: SAML-svaret har ikke NameId i bedømmelsen). Kontrollér dette først.
  2. Gå til dashboardet
  3. Klik på fanen Identitet og på domænet.
  4. Klik på Rediger konfiguration.
  5. Find IDP-bindingen. Skift til HTTP-POST, og klik derefter på Gem. 
  6. Test logonoplevelsen igen.
  7. Hvis det virker, men du foretrækker den tidligere indstilling, skal du blot skifte tilbage til HTTP-REDIRECT og uploade metadataene til ADFS igen.

Med andre IdP'er:

  1. Hvis du støder på en fejl 400, betyder det, at et vellykket logon er blevet afvist af din IdP.
  2. Kontrollér dine IdP-logfiler for at finde årsagen til fejlen.
  3. Ret fejlen, og prøv igen.

Fejlen "403 fejlbehæftet certifikat"

Fejlen "403 app_not_configured_for_user"

Opdater enheds-id i Google Console. Eksportér derefter metadatafilen, og upload den i Adobe Admin Console.

Fejlen "Du kan ikke få adgang til dette lige nu" eller "Du kan ikke komme dertil herfra"

Denne fejl opstår normalt, når organisationen har aktiveret politikken for betinget adgang i IdP.

Hvis du bruger administrerede pakker til at udrulle produkter, skal du oprette en administreret pakke fra Adobe Admin Console ved at vælge den browserbaserede godkendelsesmulighed. Udrul den derefter på brugerens enhed.

Hvis du ikke bruger administrerede pakker, kan brugerne åbne Creative Cloud-computerappen og vælge Log ind med din browser i menuen Hjælp.

Fejlen "App ikke tildelt"

Hvis denne fejl opstår, skal administratoren tilføje brugerne til den Adobe SAML-app, der er oprettet på deres IdP. Lær at oprette en Adobe SAML-app på Google Administrationskonsol eller Microsoft Azure Portal.

Fejlen "Du har ikke adgang til denne tjeneste. Kontakt din it-administrator for at få adgang, eller log ind med et Adobe ID"

Tjek SAML-logfilerne, da brugernavnet eller e-mailadressen, der sendes i SAML-bedømmelsen, ikke stemmer overens med de oplysninger, der er indtastet i Admin Console.

Få hjælp hurtigere og nemmere

Ny bruger?