Ülevaade

Katsel Adobe toodetesse, teenustesse või mobiilirakendustesse Federated ID (SSO) abil sisse logida on tulemuseks üks järgmistest tõrketeadetest:

Pärast SSO edukat konfigureerimist halduskonsoolis Adobe Admin Console veenduge, et olete klõpsanud valikul Download Metadata (Laadi alla metaandmed) ja salvestanud SAML-i XML-metaandmete faili oma arvutisse. Teie identiteeditarnija vajab seda faili ühekordse sisselogimise võimaldamiseks. Peate importima XML-konfiguratsiooni üksikasjad nõuetekohaselt oma identiteeditarnijasse (IdP). See on nõutav SAML-i integratsiooniks teie IdP-ga ja tagab andmete õige konfigureerimise.

Allpool on loetletud mõned levinud konfiguratsiooniprobleemid.

  • Sertifikaat on muus vormingus peale PEM-i.
  • Sertifikaat, millel on muu laiend kui .cer. .pem ja .cert, ei toimi.
  • Sertifikaat on krüptitud.
  • Sertifikaat on üherealise vorminguga. Nõutav on mitmerealine.
  • Sisse on lülitatud sertifikaatide tühistamiskontroll (seda praegu ei toetata).
  • SAML-i identiteeditarnija väljastaja erineb halduskonsoolis Admin Console määratust (näiteks kirjaviga, puuduvad märgid, https http asemel vms).

Kui teil on küsimusi selle kohta, kuidas kasutada SAML-i XML-metaandmete faili oma identiteeditarnija konfigureerimiseks, siis pöörduge juhiste saamiseks vahetult oma identiteeditarnija poole, sest erinevate identiteeditarnijate korral võivad juhised erineda.

Mõned näited konkreetsete identiteeditarnijate puhul (nimekiri ei ole ammendav – toimib iga SAML 2-ga ühilduv identiteeditarnija).

Okta: võtke XML-failist käsitsi nõutav teave ja andmete õigeks konfigureerimiseks sisestage see kasutajaliideses õigetele väljadele.

Ping Federate: laadige XML-fail üles või sisestage andmed kasutajaliideses õigetele väljadele.

Microsoft ADFS: teie sertifikaat peab olema PEM-vormingus, kuid ADFS-i korral on vaikeseadistuseks DER-vorming. Saate sertifikaadi teisendada käsu openssl abil, mis on saadaval operatsioonisüsteemides OS X, Windows ja Linux, järgmiselt:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Pärast ülaltoodud sammu sooritamist nimetage sertifikaat .cer ümber.

Kui teil on mitu sertifikaati, siis jälgige, et kasutusel oleks õige sertifikaat. See peab olema sama, mida hakatakse kasutama päringute allkirjastamisel. (Näiteks kui päringute allkirjastamisel kasutatakse juurdepääsutõendiga allkirjastamise sertifikaati, siis on see õige sertifikaat, mida tuleb kasutada.) Sertifikaatide tühistamiskontroll peab olema väljas.

Kui olete konfigureerinud identiteeditarnija nii hästi kui oskate, proovige sõltuvalt saadud tõrketeatest üht või mitut alljärgnevatest abinõudest.

Metaandmete allalaadimise link

Põhiline tõrkeotsing

Ühekordse sisselogimise probleemid on sageli tingitud väga lihtsatest vigadest, mida on kerge kahe silma vahele jätta. Konkreetselt kontrollige järgmist.

  • Kasutaja on määratud toote konfiguratsiooni mingi õigusega.
  • Kasutaja eesnimi, perekonnanimi ja e-posti aadress saadetakse SAML-i täpselt sellisel kujul, nagu need on toodud ettevõtte armatuurlaual ja on SAML-is olemas õigete siltidega.
  • Kontrollige üle kõik halduskonsooli Admin Console ja oma identiteeditarnija kirjed, et neis poleks õigekirja- või süntaksivigu.
  • Creative Cloudi töölauarakendus on värskendatud uusimaks versiooniks.
  • Kasutaja logib sisse õigesse kohta (CC töölauarakendusse, CC rakendusse või veebisaidile adobe.com).

Tõrketeade „Ilmnes tõrge“ koos nupuga „Proovige uuesti“.

Ilmnes tõrge – PROOVIGE UUESTI

See tõrge ilmneb tavaliselt pärast seda, kui kasutaja autentimine on õnnestunud ja Okta on autentimisvastuse edukalt Adobele edastanud.

Kontrollige halduskonsoolis Adobe Admin Console järgmisi punkte.

Vahekaardil Identiteet

  • Veenduge, et seotud domeen on aktiveeritud.

Vahekaardil Tooted

  • Veenduge, et kasutaja on seotud õige tootehüüdnimega ja paikneb domeenis, mille kohta väidate, et see on konfigureeritud kui Federated ID.
  • Veenduge, et tootehüüdnimele on määratud õige(d) õigus(ed).

Vahekaardil Kasutajad

  • Veenduge, et vastava kasutaja kasutajanimi on esitatud täieliku e-posti aadressina.

Sisselogimisel tõrketeade „Juurdepääs on keelatud“

Keelatud juurdepääsu tõrge

Selle tõrke võimalikud põhjused on järgmised.

  • SAML-i kinnituses saadetav eesnimi, perekonnanimi või e-posti aadress ei vasta halduskonsoolis Admin Console sisestatud teabele.
  • Kasutaja ei ole seotud õige tootega või toode ei ole seotud õige õigusega.
  • SAML-i kasutajanimi edastatakse mingil muul kujul peale e-posti aadressi. Kõik kasutajad peavad paiknema domeenis, mille seadistuse ajal määrasite.
  • Teie SSO klient kasutab sisselogimisprotsessi käigus Javascripti ja teie üritate sisse logida klienti, mis ei toeta Javascripti (näiteks Creative Cloud Packager).

Lahendamisviisid

  • Kontrollige kasutaja armatuurlaua konfiguratsiooni – kasutaja teavet ja toote konfiguratsiooni.
  • Käitage SAML-i jälitust ja kontrollige, kas saadetav teave vastab armatuurlaual olevale. Seejärel parandage võimalikud ebakõlad.

Tõrge „Praegu on sisse loginud teine kasutaja“

Tõrge „Praegu on sisse loginud teine kasutaja“ ilmneb juhul, kui SAML-i kinnituses saadetud atribuudid ei vasta e-posti aadressile, mida kasutati sisselogimisprotsessi käivitamiseks.

Kontrollige SAML-i kinnituses leiduvaid atribuute ja veenduge, et need vastavad täpselt nii ID-le, mida kasutaja üritab kasutada kui ka halduskonsooli Admin Console andmetele.

Tõrge „Kutse süsteemi kontseptsioonina ebaõnnestus“ või „Kasutaja loomine ebaõnnestus“

Tõrge „Kutse süsteemi kontseptsioonina ebaõnnestus“ (millele järgneb juhuslik kood) või „Kasutaja loomine ebaõnnestus“ näitab SAML-i atribuutide probleemi. Veenduge, et atribuudinimede täheregister on õige (tõstutundlik nimetamine): FirstName, LastName, Email. Näiteks võib need tõrked põhjustada see, et viimane atribuut on „email“, mitte „Email“.

Need tõrked võivad ilmneda ka juhul, kui SAML-i kinnitus ei sisalda elemendis „Subject > NameId“ kasutaja e-posti aadressi (kui kasutatakse SAML Tracerit, peaks selle vorming olema emailAddress ja tegelik e-posti aadress olema antud tekstilise väärtusena.  

Kui vajate Adobe klienditoe abi, siis lisage SAML-i jälg.

 

Tõrge „Väljastaja SAML-i vastuses erineb identiteeditarnija jaoks konfigureeritud väljastajast“

SAML-i kinnituse identiteeditarnija erineb sisenevas SAML-is konfigureeritust. Otsige kirjavigu (nt http asemel https). Kui kontrollite identiteeditarnija väljastaja stringi kliendi SAML-i süsteemi alusel, siis peate otsima TÄPSET vastet sealt edastatud stringile. Mõnikord põhjustab selle probleemi lõpust puuduv kaldkriips.

Kui vajate selle tõrke korral abi, edastage SAML-i jälg ja väärtused, mille Adobe armatuurlaual sisestasite.

Tõrge „SAML-i vastuses sisalduvat digitaalallkirja ei õnnestunud identiteeditarnija sertifikaadiga valideerida“

Kõige tõenäolisemalt on sertifikaadifail vale ja tuleb uuesti üles laadida. See probleem ilmneb üldjuhul siis, kui on tehtud muudatus ja administraator viitab valele sertifikaadifailile. Kontrollige ka vormingu tüüpi (ADFS-i korral on nõutav PEM-vorming).

Tõrge „Hetkeaeg on kinnituse tingimustes määratud ajast varasem“

Windows

Seadke süsteemi kell õigeks või kohandage ajanihke väärtust.

Süsteemiaja seadmine

Kontrollige süsteemi kella selle käsu abil:

w32tm /query /status

Süsteemi kella saate Windows Serveris õigeks seada järgmise käsuga:

w32tm /resync

Kui süsteemi kell on õigesti seatud, tuleb võib-olla luua tolerants, et võtta arvesse identiteeditarnija ja autentiva süsteemi vahelist erinevust.

Kella ajanihe

Seadke lubatud ajanihke väärtuseks algul 2 minutit. Kontrollige, kas õnnestub ühendust saada ja seejärel sõltuvalt tulemusest kas suurendage või vähendage seda väärtust. Täielikud andmed leiate Microsofti teadmusbaasist

Kokkuvõttes võite Powershellist käitada järgmisi käske:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Lihtsalt algsete väärtuste vaatamiseks
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2 #Ajanihke seadmine 2 minutile

kus „urn:party:sso“ on üks teie vahendava osapoole identifikaatoritest

Märkus. Võite kasutada vahendava osapoole kõigi usaldusobjektide hankimiseks cmdlet-käsku Get-ADFSRelyingPartyTrust ilma parameetriteta.

UNIXi-põhised süsteemid

Veenduge, et süsteemi kell on õigesti seatud, näiteks järgmise käsu abil:

ntpdate -u pool.ntp.org

Elemendis SubjectConfirmation määratud saaja ei vasta meie teenusepakkuja olemi ID-le.

Kontrollige atribuute, sest nende täheregister peab täpselt järgnevale vastama: FirstName, LastName, Email. See tõrketeade võib tähendada, et üks atribuutidest on vale täheregistriga, näiteks „Email“ asemel „email“.  Kontrollige ka saaja väärtust – see peaks viitama ACS-stringile.

ACS-string

Tõrge 401, volitamata mandaat

See tõrge ilmneb, kui rakendus ei toeta liitautentimisega sisselogimist ja sellesse tuleb sisse logida Adobe ID-ga. Sellise nõudega rakenduste näited on Framemaker, RoboHelp ja Captivate.

Tõrge „Siseneva SAML-i sisselogimine ebaõnnestus tõrkega: SAML-i vastus ei sisaldanud kinnitusi.“

Kontrollige sisselogimise töövoogu.  Kui teil õnnestub avada sisselogimislehekülg teisest arvutist või võrgust, aga mitte ettevõttesiseselt, võib probleem olla agenti blokeerivas stringis.  Käitage ka SAML-i jälitust ja veenduge, et SAML-i teema sisaldab eesnime, perekonnanime ja kasutajanime, mis on esitatud korrektse vorminguga e-posti aadressina.

Tõrge 400, vigane päring / tõrge „SAML-i päringu olek ei õnnestunud“ / SAML-i sertifikaatide valideerimine ebaõnnestus

Tõrge 400, vigane päring

Kontrollige, kas saadetakse nõuetekohane SAML-i kinnitus.

  • Kontrollige, kas identiteeditarnija edastab SAML-i kinnituses järgmised atribuudid (tõstutundlikud): FirstName, LastName, Email. Kui need atribuudid ei ole SAML 2.0 Connectori konfiguratsiooni osana saadetavas identiteeditarnijas konfigureeritud, siis autentimine ei toimi.
  • Teemas puudub element NameID. Kontrollige, kas element Subject sisaldab elementi NameId. See peab olema võrdne atribuudiga Email, mis peab olema selle kasutaja e-posti aadress, keda soovite autentida.
  • Õigekirjavead, eriti niisugused, mis jäävad kergesti märkamata, näiteks https http asemel.
  • Kontrollige, kas edastatakse õige sertifikaat. Identiteeditarnijad tuleb konfigureerida kasutama tihendamata SAML-i päringuid/vastuseid. Okta sisenev SAML-i protokoll toimib ainult tihendamiseta seadistuse (mitte tihendamisega seadistuse) korral.

Mõne utiliidi (näiteks SAML Tracer Firefoxile) abil saate võib-olla kinnituse lahti pakkida ja ülevaatuseks kuvada. Kui vajate abi Adobe klienditoelt, palutakse teilt seda faili.

Alljärgnevast töönäitest võib abi olla SAML-i kinnituse nõuetekohasel vormindamisel.

Laadi alla

Microsoft ADFS-i korral

  1. Et sisselogimine õnnestuks, peab iga Active Directory konto e-posti aadress olema nimetatud Active Directorys (sündmuselogi: „SAML-i vastusel puudub kinnituses NameId“). Kontrollige kõigepealt seda.
  2. Avage armatuurlaud
  3. Klõpsake vahekaardil Identiteet ja domeenil.
  4. Klõpsake käsul „Muuda konfiguratsiooni“.
  5. Otsige üles väli „IDP sidumine“. Valige väärtuseks „HTTP-POST“ ja seejärel salvestage. 
  6. Proovige uuesti sisse logida.
  7. Kui see toimib, kuid te eelistate eelnenud seadistust, valige lihtsalt uuesti „HTTP-REDIRECT“ ja laadige metaandmed uuesti ADFS-i üles.

Muude identiteeditarnijate korral

  1. Tõrke 400 ilmnemine tähendab, et teie identiteeditarnija keeldus pärast sisselogimise õnnestumist.
  2. Tõrke põhjuse leidmiseks vaadake üle oma identiteeditarnija logid.
  3. Kõrvaldage probleem ja proovige uuesti.

Microsoft ADFS-i konfigureerimine

Vaadake Microsoft ADFS-i konfigureerimise samm-sammulist juhendit.

Kui Mac-i kliendi korral kuvatakse Creative Cloudis tühi aken, siis kontrollige, kas kasutajaagent Creative Cloud on usaldatud.

Microsoft Azure'i konfigureerimine

Vaadake Microsoft Azure'i konfigureerimise samm-sammulist juhendit.

OneLogini konfigureerimine

Vaadake OneLogini konfigureerimise samm-sammulist juhendit.

Okta konfigureerimine

Vaadake Okta konfigureerimise samm-sammulist juhendit.

See töö on litsentseeritud Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported litsentsiga  Süsteemi Creative Commons tingimused ei kehti Twitter™-i ja Facebooki postitustele.

Juriidilised märkused   |   Privaatsuspõhimõtted veebis