Abra la aplicación de administración de AD FS en su servidor y dentro de la carpeta AD FS > Servicio > Terminales, seleccione Metadatos de federación.
- Adobe para empresas y equipos: Guía de administración
- Planificar la implementación
- Conceptos básicos
- Guías de implementación
- Implementar Creative Cloud para el sector educativo
- Inicio de la implementación
- Asistente de incorporación para primaria y secundaria
- Configuración sencilla
- Sincronización de usuarios
- Sincronización de listas para primaria y secundaria (EE. UU.)
- Conceptos claves de las licencias
- Opciones de implementación
- Consejos rápidos
- Aprobar aplicaciones de Adobe en la Google Admin Console
- Activar Adobe Express en Google Classroom
- Integración con Canvas LMS
- Integración con Blackboard Learn
- Configuración de SSO para portales de distrito y sistemas de administración de aprendizaje (LMS)
- Agregar usuarios mediante Roster Sync
- Preguntas frecuentes sobre Kivuto
- Requisitos de idoneidad para centros de educación primaria y secundaria
- Configurar y preparar la organización
- Tipos de identidad | Aspectos generales
- Configurar una identidad | Aspectos generales
- Configurar la organización con Enterprise ID
- Configurar la federación y la sincronización con Azure AD
- Configurar la federación y sincronización de Google
- Configurar la organización con Microsoft ADFS
- Configurar la organización para District Portals y LMS
- Configurar la organización con otros proveedores de identidad
- Preguntas habituales sobre SSO y solución de problemas
- Administrar la configuración de su organización
- Administrar dominios y directorios existentes
- Habilitar la creación de cuenta automática
- Configurar la organización a través del apoderamiento de directorios
- Migrar a un nuevo proveedor de autenticación
- Configuración de recursos
- Configuración de autenticación
- Privacidad y contactos de seguridad
- Configuración de la consola
- Administración del cifrado
- Administrar dominios y directorios existentes
- Administrar usuarios
- Información general
- Funciones administrativas
- Estrategias de administración de usuarios
- Asignar licencias a un usuario de equipo
- Añadir usuarios con dominios de correo electrónico iguales
- Cambiar el tipo de identidad de un usuario
- Administrar grupos de usuarios
- Organizar usuarios de directorios
- Administrar desarrolladores
- Migrar usuarios existentes a la Adobe Admin Console
- Migrar la administración de usuarios a la Adobe Admin Console
- Información general
- Administrar productos y derechos
- Administrar productos y perfiles de productos
- Administrar productos
- Comprar productos y licencias
- Administrar perfiles de producto de usuarios empresariales
- Administrar reglas de asignación automática
- Permitir a los usuarios entrenar modelos personalizados de Firefly
- Revisar solicitudes de productos
- Administrar políticas de autoservicio
- Administrar integraciones de aplicaciones
- Administrar permisos de productos en la Admin Console
- Habilitar/deshabilitar servicios de un perfil de producto
- Aplicación única | Creative Cloud para empresas
- Servicios opcionales
- Administrar licencias de dispositivo compartido
- Administrar productos y perfiles de productos
- Introducción a Global Admin Console
- Asumir las funciones de administración global
- Seleccionar la organización
- Administrar jerarquía de la organización
- Administrar perfiles de producto
- Gestionar administradores
- Administrar grupos de usuarios
- Modificar las políticas de la organización
- Administrar plantillas de políticas
- Asignar productos a las organizaciones secundarias
- Ejecutar tareas pendientes
- Información de interés
- Exportar o importar la estructura de la organización
- Administrar almacenamiento y recursos
- Almacenamiento
- Migración de recursos
- Reclamar recursos de un usuario
- Migración de recursos de estudiantes | Solo sector educativo
- Administrar servicios
- Adobe Stock
- Fuentes personalizadas
- Adobe Asset Link
- Adobe Acrobat Sign
- Abono gratuito a Creative Cloud para empresas
- Implementar aplicaciones y actualizaciones
- Información general
- Crear paquetes
- Personalizar paquetes
- Implementar paquetes
- Implementar paquetes
- Implementar paquetes de Adobe con Microsoft Intune
- Implementar paquetes de Adobe con SCCM
- Implementar paquetes de Adobe con ARD
- Instalar productos en la carpeta Exceptions
- Desinstalar productos de Creative Cloud
- Usar Adobe Provisioning Toolkit Enterprise Edition
- Identificadores de licencia de Adobe Creative Cloud
- Implementar paquetes
- Administrar actualizaciones
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Resolución de problemas
- Administrar la cuenta de equipos
- Renovaciones
- Administrar contratos
- Informes y registros
- Ayuda
Resuelva errores habituales de autenticación, verifique las configuraciones y solucione los problemas de inicio de sesión relacionados con Federated ID (SSO) en productos de Adobe. Reciba sugerencias para solucionar los errores de SAML, los problemas relacionados con los certificados y otras dificultades en el proceso de autenticación.
Consulte los siguientes artículos si su organización ha configurado el inicio de sesión único (SSO) mediante Google Federation o Microsoft Azure Sync:
Información general
Tras configurar con éxito el SSO en Adobe Admin Console, asegúrese de haber seleccionado Descargar archivo de metadatos de Adobe y guarde el archivo de metadatos XML de SAML en su equipo. El proveedor de identidades necesita este archivo para habilitar el inicio de sesión único. Importe los detalles de configuración de XML correctamente en su proveedor de identidades (IdP). Esto es necesario para la integración de SAML con su IdP y garantizará que los datos estén configurados correctamente.
Si tiene preguntas sobre cómo utilizar el archivo de metadatos XML SAML para configurar su IdP, póngase en contacto directamente con su IdP para obtener instrucciones, que varían según el IdP.
Resolución de problemas básica
Los problemas con el inicio de sesión único a menudo se deben a errores básicos que son fáciles de pasar por alto. En particular, verifique lo siguiente:
- El usuario está asignado a un perfil de producto con un derecho.
- El nombre de usuario enviado a SAML es igual al nombre de usuario en el panel de empresa.
- Verifique todas las entradas en la Admin Console y su proveedor de identidad para ver si hay errores ortográficos o de sintaxis.
- La aplicación de escritorio de Creative Cloud se ha actualizado a la última versión.
- El usuario está iniciando sesión en el lugar correcto (una aplicación de escritorio de Creative Cloud, aplicación de Creative Cloud o Adobe.com)
Soluciones a otros errores habituales
Error: “Se ha producido un error” con el botón “Reintentar”
Este error suele ocurrir después de que la autenticación del usuario se haya realizado correctamente y Okta haya enviado correctamente la respuesta de autenticación a Adobe.
En Adobe Admin Console, valide lo siguiente:
En la pestaña Identidad:
- Asegúrese de que se haya activado el dominio asociado.
En la pestaña Productos:
- Asegúrese de que el usuario esté asociado al sobrenombre del producto correcto y en el dominio que afirmó estar configurado como Federated ID.
- Asegúrese de que el alias del producto tenga asignados los derechos correctos.
En la pestaña Usuarios:
- Asegúrese de que el nombre del usuario tenga el formato de una dirección de correo electrónico completa.
Error: “Access denegado” al iniciar sesión
Posibles causas de este error:
- El nombre de usuario o la dirección de correo electrónico que se envíe en la aserción SAML no coincide con la información introducida en la Admin Console.
- El usuario no está asociado al producto correcto o el producto no está asociado al derecho correcto.
- El nombre de usuario de SAML aparece como algo más que una dirección de correo electrónico. Todos los usuarios deben estar en el dominio que ha formado parte del proceso de configuración.
- Su cliente SSO utiliza JavaScript como parte del proceso de inicio de sesión y está intentando iniciar sesión en un cliente que no es compatible con JavaScript.
Cómo resolverlo:
- Compruebe el nombre de usuario y el correo electrónico en Adobe Admin Console y verifique que los valores coinciden con los atributos “NameID” y “Email” de los registros SAML.
- Verifique la configuración del panel del usuario: información del usuario y perfil del producto.
- Ejecute un seguimiento de SAML y valide que la información que se envía coincida con el panel, y luego corrija las incoherencias.
Error: “Otro usuario está conectado actualmente”
El error “otro usuario está conectado actualmente” ocurre cuando los atributos enviados en la aserción SAML no coinciden con la dirección de correo electrónico que se utilizó para iniciar el proceso de inicio de sesión.
Ejecute un rastreo de SAML y compruebe que la dirección de correo electrónico del usuario para iniciar sesión coincida con lo siguiente:
- La dirección de correo electrónico del usuario aparece en Admin Console
- El nombre del usuario se pasó de nuevo al campo NameID de la aserción de SAML
Error: “El emisor en la respuesta de SAML no coincide con el emisor configurado para el proveedor de identidades”
El emisor de IDP en la aserción de SAML es diferente de lo configurado en el SAML entrante. Busque errores tipográficos (como http vs https). Al verificar la cadena IDP Issuer con el sistema SAML del cliente, está buscando una coincidencia EXACTA con la cadena que proporcionaron. Este problema surge a veces porque faltaba una barra al final.
Si necesita ayuda con este error, proporcione un seguimiento SAML y los valores que introdujo en el panel de Adobe.
Error: “La firma digital en la respuesta de SAML no se validó con el certificado del proveedor de identidades”
Este problema ocurre cuando el certificado de su directorio ha expirado. Para actualizar el certificado, debe descargar el certificado o los metadatos del proveedor de identidades y cargarlo en Adobe Admin Console.
Por ejemplo, siga los pasos a continuación si su IdP es Microsoft AD FS:
-
-
Utilice un explorador para navegar hasta la URL proporcionada con los metadatos de federación y descargue el archivo. Por ejemplo, https://<el nombre de host de AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.
Nota:Acepte las advertencias si se le solicita.
-
En la pestaña Configuración de la Admin Console vaya a Configuración de identidad > Directorios. Seleccione el directorio que actualizar y haga clic en Configurar en la tarjeta de Proveedor de SAML.
Luego, cargue el archivo de metadatos IdP y haga clic en Guardar.
Error: “La hora actual es anterior al intervalo de tiempo especificado en las condiciones de afirmación”
Servidor IdP basado en Windows:
1. Asegúrese de que el reloj del sistema esté sincronizado con un servidor de hora preciso.
Verifique la precisión del reloj del sistema con su servidor de hora con este comando; el valor de “Desplazamiento de fase” debe ser una pequeña fracción de segundo:
w32tm /query /status /verbose
Puede provocar una resincronización inmediata del reloj del sistema con el servidor de hora con el siguiente comando:
w32tm /resync
Si el reloj del sistema está configurado correctamente y sigue viendo el error anterior, debe ajustar la configuración de desviación de hora para aumentar la tolerancia de la diferencia entre relojes entre el servidor y el cliente.
2. Aumente la diferencia permitida en el reloj de sistema entre servidores.
Desde una ventana de PowerShell con derechos administrativos, establezca el valor de desviación permitido en 2 minutos. Compruebe si puede iniciar sesión y luego aumente o disminuya el valor en función del resultado.
Determine la configuración actual de desviación de hora para la Relación de confianza para usuario autenticado con el siguiente comando:
Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew
La relación de confianza para usuario autenticado se identifica mediante la URL que se muestra en el campo “Identificador” del resultado del comando anterior para esa configuración en particular. Esta URL también se muestra en la utilidad ADFS Management en la ventana de propiedades de Relación de confianza para usuario autenticado en la pestaña “Identificadores” en el campo “Relación de confianza para usuario autenticado”, como se muestra en la captura de pantalla que se incluye a continuación.
Establezca la desviación de tiempo en 2 minutos con el siguiente comando, sustituyendo la dirección del identificador en consecuencia:
Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2
Servidor IdP basado en UNIX
Asegúrese de que el reloj del sistema esté configurado correctamente, ya sea utilizando el servicio ntpd, o manualmente con el comando ntpdate desde un shell raíz o con sudo como se muestra a continuación (tenga en cuenta que si el tiempo se altera en más de 0,5 segundos, el cambio no se producirá inmediatamente, pero corregirá lentamente el reloj del sistema). Asegurarse de que la zona horaria esté configurada correctamente.
# ntpdate -u pool.ntp.org
Esto funciona con proveedores de identidades como Shibboleth.
Error: 401 credenciales no autorizadas
Este error se produce cuando la aplicación no admite el inicio de sesión federado y debe iniciar sesión como un Adobe ID. FrameMaker, RoboHelp y Adobe Captivate son ejemplos de aplicaciones con este requisito.
Error: “Error de inicio de sesión de SAML entrante con mensaje: la respuesta de SAML no contenía aserciones”
Compruebe el flujo de trabajo de inicio de sesión. Si puede acceder a la página de inicio de sesión en otra máquina o red, pero no internamente, el problema podría ser una cadena de agente de bloqueo. Además, ejecute un seguimiento SAML y confirme que el nombre, apellido y nombre de usuario como una dirección de correo electrónico con el formato adecuado están en el asunto de SAML.
Comprobar que se está enviando la aserción SAML adecuada:
- No tener un elemento NameID en el asunto. Compruebe que el elemento Subject contenga un elemento NameId. Debe ser igual al atributo Email, que debe ser la dirección de correo electrónico del usuario que desea autenticar.
- Errores ortográficos, en especial los más habituales, como https en vez de http.
- Compruebe que se proporcionó el certificado correcto. Los IDP deben configurarse para utilizar solicitudes/respuestas de SAML sin comprimir.
Una utilidad como Rastreador de SAML para Firefox puede ayudar a descomprimir la aserción y mostrarla para su inspección. Si necesita asistencia del Servicio de atención al cliente de Adobe, se le pedirá este archivo. Para obtener más detalles, consulte cómo realizar un seguimiento de SAML.
El siguiente ejemplo de trabajo puede ayudar a formatear correctamente su aserción SAML:
Descargar
Con Servicios de federación de Active Directory de Microsoft:
- Cada cuenta de Active Directory debe tener una dirección de correo electrónico incluida en Active Directory para iniciar sesión correctamente (registro de eventos: La respuesta SAML no tiene NameId en la aserción). Compruebe esto primero.
- Acceda al panel.
- Haga clic en la pestaña Identidad y el dominio.
- Haga clic en Editar configuración.
- Localice la vinculación IDP. Cambie a HTTP-POST y luego guarde.
- Vuelva a probar la experiencia de inicio de sesión.
- Si funciona, pero prefiere la configuración anterior, simplemente vuelva a HTTP-REDIRECT y vuelva a cargar los metadatos en ADFS.
Con otros IdP:
- Encontrarse con el error 400 significa que su IdP rechazó un inicio de sesión correcto.
- Compruebe los registros de IdP para ver el origen del error.
- Corrija el problema y vuelva a intentarlo.
Error: “403 certificado defectuoso”
Actualice el certificado en Google Console, en la aplicación de Adobe SAML y vuelva a cargar los archivos de metadatos a Adobe Admin Console.
Error: “403 aplicación_no_configurada_para_el_usuario”
Actualice el ID de entidad en Google Console. A continuación, exporte el archivo de metadatos y cárguelo a Adobe Admin Console.
Error: “No puede acceder a este elemento ahora mismo” o “ruta inaccesible desde aquí”
Este error suele ocurrir cuando la organización ha activado la política de acceso condicional en IdP.
Si utiliza paquetes gestionados para implementar los productos, cree un paquete gestionado en Adobe Admin Console; para ello, seleccione la opción de autenticación basado en el navegador. A continuación, impleméntelo en el dispositivo del usuario.
De otro modo, los usuarios pueden abrir la aplicación de escritorio de Creative Cloud y seleccionar Iniciar sesión a través del navegador en el menú de Ayuda.
Error: “Aplicación sin asignar”
En este caso, el administrador debe añadir a los usuarios a la aplicación de Adobe SAML creada en su IdP. Consulte cómo crear una aplicación de Adobe SAML en Google Admin console o Microsoft Azure Portal.
Error: “No tiene acceso a este servicio. Contacte con su administrador de TI para obtener acceso o inicie sesión con Adobe ID”
Revise los registros de SAML, ya que el nombre, apellido o dirección de correo electrónico que se envía en la afirmación SAML no coincide con la información introducida en Admin Console.