Oversigt

Forsøg på at logge på Adobe-programmer, tjenester eller -mobilapps med et Federated ID (SSO) resulterer i en af følgende fejlmeddelelser.

Når du har konfigureret SSO i Adobe Admin Console, skal du sikre dig, at du har klikket på Download Metadata og har gemt filen SAML XML Metadata på din computer.Din id-udbyder har brug for denne fil for at kunne aktivere single sign-on.Du skal importere XML-konfigurationsoplysninger korrekt til din id-udbyder (IdP). Det kræves for at integrere SAML med din IdP, og det sikrer, at dataene bliver konfigureret korrekt.

Her er eksempler på nogle almindelige konfigurationsproblemer:

  • Certifikatet har et andet format end PEM.
  • Certifikatet har et andet filtypenavn end .cer, .pem og .cert og virker ikke.
  • Certifikatet er krypteret.
  • Certifikatet er i et format med en enkelt linje. Det skal have flere linjer.
  • Certificate Revocation Verification er slået til (understøttes ikke på nuværende tidspunkt).
  • IdP-udbyderen i SAML er ikke den samme som den, der blev angivet i administrationskonsollen (for eksempel er der stavefejl, manglende tegn, eller der står https i stedet for http).

Hvis du har spørgsmål om, hvordan du bruger SAML XML Metadata-filen til at konfigurere dit IdP, skal du kontakte din IdP-udbyder for at få anvisninger, da de afhænger af din IdP.

Nogle eksempler for specifikke IdP'er (listen er ikke udtømmende – alle SAML 2-kompatible IdP'er fungerer):

Okta: Du skal manuelt tage de nødvendige oplysninger fra XML-filen og indsætte dem i de rigtige felter for at konfigurere dataene korrekt.

Ping Federate: Upload XML-filen, eller indsæt dataene i de rigtige felter.

Microsoft ADFS: Dit certifikat skal være i PEM-format, men standardformatet for ADFS er DER. Du kan konvertere certifikatet vha. openssl-kommandoen, som findes i OS X, Windows og Linux som følger:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Når du har udført ovenstående trin, skal du omdøbe certifikatet til .cer.

Du skal også sikre dig, at du bruger det korrekte certifikat, hvis du har mere end et; det skal være det samme, der signerer anmodningerne (hvis det f.eks. er certifikatet til "token-signering", der signerer anmodningerne, skal du bruge det certifikat). Certificate Revocation Verification skal være slået fra.

Hvis du har konfigureret dit IdP korrekt, så vidt du ved, kan du prøve en eller flere af følgende løsninger, afhængigt af hvilken fejl der opstår.

Download Metadata-link

Enkel problemløsning

Problemer med single sign-on er ofte forårsaget af meget basale fejl, der er nemme at overse. I særdeleshed skal du kontrollere følgende:

  • At brugeren er tildelt til en produktkonfiguration med en rettighed.
  • At brugerens fornavn, efternavn og e-mailadresse sendes i SAML, præcis som de vises i virksomhedsdashboardet, og vises i SAML med de korrekte navne.
  • Kontrollér alle indtastninger i administrationskonsollen og id-udbyderen for stavefejl eller syntaksfejl.
  • At Creative Cloud-skrivebordsprogrammet er opdateret til den nyeste version.
  • At brugeren er logget på det rette sted (CC-skrivebordsprogram, CC-program eller Adobe.com)

Fejlmeddelelsen "Der opstod en fejl" med en knap med titlen "Prøv igen"

Der opstod en fejl – PRØV IGEN

Denne fejl opstår typisk, når brugergodkendelsen er gået igennem, og Okta har videresendt godkendelsessvaret til Adobe.

I Adobe Admin Console skal du kontrollere følgende:

På fanen Identitet:

  • Sørg for, at det tilknyttede domæne er blevet aktiveret.

På fanen Programmer:

  • Sørg for, at brugeren er knyttet til det korrekte programbrugernavn, og at du i domænet har angivet konfiguration med Federated ID.
  • Sørg for, at programbrugernavnet har de korrekte rettigheder tilknyttet.

På fanen Brugere:

  • Sørg for, at brugernavnet på brugeren er en komplet e-mailadresse.

Fejlmeddelelsen "Adgang nægtet" ved login

Fejlen Adgang nægtet

Mulige årsager til denne fejl:

  • Det fornavn, efternavn og den e-mailadresse, der sendes i SAML-programmet, ikke overens med de oplysninger, der er angivet i administrationskonsollen.
  • Brugeren er ikke tilknyttet det rigtige program, eller programmet er ikke tilknyttet de korrekte rettigheder.
  • SAML-brugernavnet vises som noget andet end en e-mailadresse. Alle brugere skal være i det domæne, du har angivet som en del af konfigurationsprocessen.
  • Din SSO-klient bruger Javascript som en del loginprocessen, og du forsøger at logge på en klient, der ikke understøtter Javascript (som f.eks. Creative Cloud Packager).

Sådan løser du problemet:

  • Verificer dashboard-konfigurationen for brugeren: brugeroplysninger og programkonfiguration.
  • Kør en SAML-sporing, og kontrollér, at de oplysninger, der sendes, stemmer overens med dashboardet, og ret eventuelle uoverensstemmelser.

Fejlmeddelelsen "En anden bruger er allerede logget på"

Fejlen "En anden bruger er allerede logget på" opstår, når de egenskaber, der sendes i SAML-programmet, ikke stemmer overens med den e-mailadresse, der blev brug til at starte loginprocessen.

Kontrollér egenskaberne i SAML-programmet, og sørg for, at de stemmer fuldstændig overens med det id, brugeren forsøger at bruge, og også stemmer overens med administrationskonsollen.

Fejlmeddelelsen "Der kunne ikke foretages et opkald som primær systembruger" eller "Oprettelse af bruger mislykkedes"

Fejlmeddelelsen "Der kunne ikke foretages et opkald som primær systembruger" (efterfulgt af en tilfældig kode) eller "Oprettelse af bruger mislykkedes" indikerer et problem med SAML-egenskaberne.Sørg for, at brugen af store og små bogstaver i egenskabsnavnene er korrekte (der skelnes mellem store og små bogstaver i navne): Fornavn, Efternavn, E-mailadresse. For eksempel kan brugen af "e-mail" i stedet for "E-mail" forårsage disse fejl.

Disse fejl kan også opstå, hvis SAML-programmet ikke indeholder brugerens e-mailadresse i Subject > NameId-elementet (når du bruger SAML Tracer, skal den være i formatet emailAdresse og have den rigtige e-mailadresse som tekstværdi).  

Hvis du har brug for hjælp fra Adobe-support, skal du inkludere en SAML-sporing.

 

Fejlmeddelelsen "Udstederen i SAML-svaret stemte ikke overens med den udsteder, der er konfigureret for identitetsudbyderen"

IDP-udbyderen i SAML-programmet er ikke den samme som den, der er konfigureret i den indgående SAML. Se efter tastefejl (såsom http i stedet for https). Når du kontrollerer IDP-udstederstrengen og kundens SAML-system, skal du se efter en PRÆCIS overensstemmelse mellem de strenge, der er angivet. Dette problem opstår nogle gange, fordi der mangler en skråstreg i slutningen.

Hvis du har brug for hjælp til at løse denne fejl, skal du videregive en SAML-sporing og de værdier, du har indtastet i Adobe-dashboardet.

Fejlmeddelelsen "Den digitale signatur i SAML-svaret svarede ikke til identitetsudbyderens certifikat"

Certifikatfilen er højst sandsynligt forkert og skal uploades igen. Dette problem opstår generelt, efter der er blevet foretaget en ændring, og administratoren henviser til en forkert certifikatfil.  Kontrollér også formattypen (det skal være PEM-format til ADFS).

Fejlmeddelelsen "Det aktuelle tidspunkt ligger før det angivne tidsinterval i programbetingelserne"

Windows-baseret IdP-server:

1. Kontrollér, at systemuret er synkroniseret med en præcis tidsserver

Kontrollér nøjagtigheden af systemuret i forhold til tidsserveren med denne kommando; "Phase Offset"-værdien bør være en brøkdel af et sekund:

w32tm /query /status /verbose

Du kan bruge en øjeblikkelig synkronisering af systemet i forhold til tidsserveren med følgende kommando:

w32tm /resync

Hvis systemuret er indstillet korrekt, og du stadig ser ovenstående fejl, skal du justere indstillingen for tidsforskydning for at øge tolerancen med hensyn til forskellen mellem urene mellem serveren og klienten.

2. Forøg den tilladte forskel i systemuret mellem serverne

Fra et Powershell-vindue med administratorrettigheder skal du indstille den tilladte forskydningsværdi til 2 minutter. Kontrollér, om du så kan logge på, og indstil så værdien til mindre eller mere alt efter resultatet af forsøget.

Få vist den aktuelle tidsforskydningsindstilling for den relevante Relying Party Trust med følgende kommando:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Den pågældende Relying Party Trust vises med den URL-adresse, som vises i feltet "Identifier" i resultatet af den tidligere kommando for denne konfiguration. Denne URL-adresse vises også i programmet ADFS Managment i vinduet med egenskaber for den relevante Relying Party Trust på fanen "Identifiers" i feltet "Relying Party Trusts" som vist i skærmbilledet nedenfor.

Indstil tidsforskydningen til 2 minutter med følgende kommando, idet du udskifter Identifier-adressen:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

relying_party_identifier

UNIX-baseret IdP-server

Kontrollér, at systemuret er indstillet korrekt med enten ntpd-tjenesten eller manuelt med kommandoen ntpdate fra en root shell eller med sudo som vist nedenfor (bemærk, at vis tiden forskydes med mere end 0,5 sekunder, vil ændringen ikke ske med det samme, men systemuret vil langsomt blive rettet). Kontrollér, at tidszonen også er indstillet korrekt.

# ntpdate -u pool.ntp.org

Den modtager, der er angivet i SubjectConfirmation, stemte ikke overens med vores tjenesteudbyders enheds-id

Kontrollér egenskaberne, da de skal stemme fuldstændig overens med følgende eksempel: Fornavn, Efternavn, E-mailadresse. Denne fejlmeddelelse kan betyde, at der er forkert brug af små og store bogstaver i en af egenskaberne, f.eks. "e-mail" i stedet for "E-mail". Du skal også kontrollere modtagerværdien – den skal henvise til ACS-strengen.

ACS-streng

Fejl 401: uautoriserede loginoplysninger

Denne fejl opstår, når programmet ikke understøtter login med Federated ID, og du skal logge på det med dit Adobe ID. Framemaker, RoboHelp og Captivate er eksempler på programmer med dette krav.

Fejlmeddelelsen "Indgående SAML-login mislykkedes med meddelelsen: SAML-svaret indeholdt ikke noget program"

Kontrollér arbejdsforløbet for login. Hvis du kan få adgang til login-siden på en anden maskine eller et andet netværk men ikke internt, kan problemet være en blokeringsagent-streng. Du skal også køre en SAML-sporing og bekræfte, at fornavn, efternavn og brugernavn (som en rigtigt formateret e-mailadresse) er i SAML-emnet.

Fejl 400: forkert anmodning/fejlmeddelelsen "SAML-anmodningen blev ikke udført"/Validering af SAML-certifikat mislykkedes

Fejl 400: forkert anmodning

Kontrollér, at det rigtige SAML-program er blevet sendt:

  • Kontrollér, at identitetsudbyderen sender følgende egenskaber (der skelnes mellem store og små bogstaver) i SAML-programmet: Fornavn, Efternavn, E-mailadresse. Hvis disse egenskaber ikke er konfigureret i IdP til at blive sendt som en del af SAML 2.0 Connector-konfigurationen, vil godkendelsen ikke virke.
  • Hvis der ikke er et NameID-element i emnet. Kontrollér, at Subject-elementet indeholder et NameId-element. Det skal være det samme som egenskaben E-mail, som skal være e-mailadressen på den bruger, du vil godkende.
  • Stavefejl, som er nemme at overse, som f.eks. https i stedet for http.
  • Kontrollér, at det rigtige certifikat blev angivet. IDP'er skal være konfigureret til at bruge SAML-anmodninger/-svar. Den indgående SAML-protokol i Okta fungerer kun med ukomprimerede indstillinger (ikke med komprimerede indstillinger).

Et hjælpeprogram som SAML Tracer til Firefox kan hjælpe med at pakke programmet ud og vise det til gennemgang. Hvis du har brug for hjælp fra Adobe-support, vil du blive bedt om denne fil.

Følgende arbejdseksempel kan hjælpe dig med at formatere SAML-programmet rigtigt:

Download

Med Microsoft ADFS:

  1. Hver Active Directory-konto skal have en e-mailadresse i Active Directory, for at brugeren kan logge på (hændelseslog: SAML-svaret har ikke noget NameId i programmet). Kontrollér først dette.
  2. Åbn dashboardet.
  3. Klik på fanen Identitet og på domænet.
  4. Klik på Rediger konfiguration.
  5. Find IDP Binding. Skift til HTTP-POST, og gem. 
  6. Test login-processen igen.
  7. Hvis det virker, men du hellere vil bruge den tidligere indstilling, kan du bare skifte til HTTP-REDIRECT og uploade metadataene i ADFS igen.

Med andre IdP'er:

  1. Når fejl 400 opstår, betyder det, at et gennemført login blev afvist af din IdP.
  2. Kontrollér dine IdP-logfiler for at finde kilden til fejlen.
  3. Ret fejlen, og prøv igen.

Konfiguration af ADFS

Se mere i den detaljerede vejledning til konfiguration af Microsoft ADFS.

Hvis en Mac-klient har et tomt vindue i Creative Cloud, skal du sørge for at "Creative Cloud"-brugeragenten er angivet som pålidelig.

Konfiguration af Microsoft Azure

Se den detaljerede vejledning til konfiguration af Microsoft Azure.

Konfiguration af OneLogin

Se den detaljerede vejledning til konfiguration af OneLogin.

Konfiguration af Okta

Se den detaljerede vejledning til konfiguration af Okta.

Konfiguration af Centrify

Se den detaljerede vejledning til konfiguration af Centrify.

Dette arbejde har licens under en Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Opslag på Twitter™ og Facebook er ikke omfattet af vilkårene for Creative Commons.

Juridiske meddelelser   |   Politik for beskyttelse af personlige oplysninger online