Descripción general

Intentar iniciar sesión en los productos, servicios o en las aplicaciones móviles de Adobe mediante Federated ID (SSO) da como resultado uno de los siguientes mensajes de error.

Después de configurar con éxito SSO dentro de Adobe Admin Console, asegúrese de que hace clic en metadatos de la descarga y de que guarda el archivo de metadatos XML SAML en su equipo. El proveedor de identidades necesita este archivo para habilitar el inicio de sesión único. Debe importar los detalles de la configuración XML correctamente en el proveedor de identidades (IdP). Es necesario para la integración de SAML con su IdP y garantiza que los datos estén configurados correctamente.

A continuación se enumeran algunos de los problemas habituales de configuración:

  • El certificado está en un formato diferente de PEM.
  • El certificado tiene una extensión diferente de .cer. .pem y .cert que no funcionará.
  • El certificado está cifrado.
  • El certificado está en un formato de línea única. Es necesario el formato de multilínea.
  • Se activa la Comprobación de Revocación de Certificados (esto no se admite actualmente).
  • El emisor de IdP en SAML no es exactamente igual al especificado en la Consola de administración, por ejemplo hay errores ortográficos, faltan caracteres o aparece https en lugar de http.

Si tiene preguntas sobre cómo utilizar el archivo de metadatos XML de SAML para configurar su IdP, póngase en contacto con su IdP directamente para obtener instrucciones, que varían según el IdP.

Algunos ejemplos para IdP concretos (no es una lista exhaustiva, será válido cualquier SAML 2 compatible con IdP):

Okta: Tome manualmente la información necesaria del archivo XML e introdúzcala en los campos de UI adecuados para configurar los datos correctamente.

Ping Federate: suba el archivo XML o introduzca los datos en los campos de UI correctamente.

SERVICIOS DE FEDERACIÓN DE ACTIVE DIRECTORY de Microsoft: El certificado debe estar en formato PEM, pero el valor predeterminado para ADFS está en formato DER. Puede convertir el certificado mediante el comando openssl, disponible en OS X, Windows o Linux como se indica a continuación:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Después de realizar el paso anterior, cambie el nombre del certificado .cer.

Asegúrese también de que se utiliza el certificado correcto. Si tiene más de uno, este debe ser el mismo que va a firmar las solicitudes. (Por ejemplo, si el certificado “token a firmar” está firmando las solicitudes, éste es el certificado que se va a usar.) La Comprobación de Revocación de Certificados debe estar desactivada.

Si ha configurado su IdP a la mejor manera que conoce, intente una o más de las opciones siguientes dependiendo del error recibido.

Enlace de Metadato de Descarga

Solución de problemas básicos

Los problemas con el inicio de sesión único a menudo están provocados por errores muy básicos que son fáciles de pasar por alto. Compruebe, especialmente, lo siguiente:

  • El usuario tiene asignada una configuración de producto con una titularidad.
  • El nombre, los apellidos y la dirección de correo electrónico del usuario se envían en SAML exactamente como aparecen en el tablero de instrumentos de empresa y están presentes en SAML con el etiquetado correcto.
  • Compruebe todas las entradas de Admin Console y de su Proveedor de Identidad para saber si hay errores de ortografía o de sintaxis.
  • Se ha actualizado la aplicación de escritorio de Creative Cloud a la versión más reciente.
  • El usuario inicia sesión en el lugar correcto (aplicación de escritorio de CC, aplicación de CC o adobe.com)

El error “se ha producido un error” con el etiquetado “Intentar de nuevo”

Se ha producido un error - INTENTAR DE NUEVO

Este error suele ocurrir después de que la autenticación de usuarios haya tenido éxito y de que Okta haya transmitido correctamente la respuesta de autenticación de Adobe.

En la Consola de administración de Adobe, valide lo siguiente:

En la ficha Identidad:

  • Asegúrese de que se haya activado el dominio asociado.

En la ficha Productos:

  • Asegúrese de que el usuario esté asociado con el alias del producto correcto y de que esté dentro del dominio que se ha configurado como Federated ID.
  • Asegúrese de que el alias del producto tenga asignados los derechos correspondientes.

En la ficha Usuarios:

  • Asegúrese de que el nombre de usuario sea una dirección de correo electrónico completa.

Error “Acceso denegado” al iniciar sesión

Error de acceso denegado

Causas posibles de este error:

  • El nombre, los apellidos y la dirección de correo electrónico que se envía en la aserción SAML no coincide con la información introducida en Admin Console.
  • El usuario no está asociado con el producto adecuado, o bien, el producto no está asociado con la asignación correcta.
  • El nombre de usuario de SAML parece diferente a una dirección de correo electrónico. Todos los usuarios deben estar en el dominio que ha formado parte del proceso de configuración.
  • El cliente de SSO utiliza Javascript como parte del proceso de inicio de sesión y se intenta iniciar sesión en un cliente que no admite Javascript (por ejemplo, Creative Cloud Packager).

Cómo resolverlo:

  • Compruebe la configuración del tablero para el usuario, la información del usuario y la configuración del producto.
  • Ejecute el calco de SAML y asegúrese de que la información enviada coincida con el tablero y corrija cualquier incoherencia.

Error “otro usuario tiene abierta una sesión en este momento”

El error “otro usuario tiene abierta una sesión en este momento” se produce cuando los atributos enviados en la aserción SAML no coinciden con la dirección de correo electrónico que se usó para iniciar el proceso de inicio de sesión.

Compruebe los atributos de la aserción de SAML y asegúrese de que coincidan exactamente con el ID que el usuario intenta utilizar y con Admin Console.

Error “Error al hacer una llamada como el principio del sistema” o “Error al crear el usuario”

El error “error al hacer una llamada como el principio del sistema” (seguido de un código aleatorio) o “error al crear el usuario” indica un problema con los atributos de SAML.Compruebe que los nombres del atributo sean correctos (con distinción entre mayúsculas y minúsculas, etc.) los apellidos, el nombre, el correo electrónico. Por ejemplo, la terminación de un atributo como "email" en vez de "Email" puede causar estos errores.

Estos errores se pueden producir también si la aserción SAML no contiene el correo electrónico del usuario en el Asunto > elemento NameId (al utilizar el look de SAML Tracer, debe tener el formato: correo electrónico y el correo electrónico real como texto y como valor).  

Si necesita asistencia del servicio de asistencia de Adobe, por favor incluya el calco de SAML.

 

Error “el Emisor de la respuesta de SAML no coincide con el Emisor configurado por el Proveedor de Identidad”

El Emisor de IDP de la aserción de SAML es diferente del que se ha configurado en el SAML entrante. Busque errores tipográficos, por ejemplo http o https. Al comprobar la cadena del Emisor de IDP con el sistema de SAML del cliente, se busca una coincidencia exacta con la cadena que se ha proporcionado. Este problema se produce en ocasiones debido a que faltaba una barra al final.

Si necesita asistencia con este error, proporcione un calco y los valores de SAML que ha introducido en el tablero de Adobe.

Error “la firma digital de la respuesta de SAML no valida el Certificado de Proveedores de Identidad”

Es muy probable que el archivo del certificado sea incorrecto y que se deba volver a cargar. Este problema suele producirse después de haberse realizado un cambio y el administrador hace referencia al archivo cert incorrecto. Asimismo, compruebe el tipo de formato (debe tener el formato PEM para ADFS).

Error “La hora actual es anterior al intervalo de tiempo especificado en las condiciones de Aseveración”

Windows:

Corrija el reloj del sistema o ajuste el valor de sesgo del tiempo.

Configuración de la hora del sistema:

Compruebe el reloj del sistema con el comando siguiente:

w32tm /query /status

El reloj del sistema se puede corregir en Windows Server con el comando siguiente:

w32tm /resync

Si el reloj del sistema está bien definido, quizá deba crear la tolerancia de una diferencia entre el IdP y el sistema que se autentica.

Sesgo del tiempo

Empiece definiendo el valor de sesgo del tiempo en 2 minutos. Compruebe si se puede conectar; a continuación, aumente o disminuya el valor en función del resultado. Obtenga información detallada en la Microsoft Knowledgebase

En resumen, desde Powershell puede ejecutar los comandos siguientes:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Solo para ver cuáles eran los valores originales
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2 #Defina el sesgo del tiempo en 2 minutos

donde "urn:party:sso" es uno de los identificadores de la relación de confianza

Nota: puede utilizar el cmdlet Get-ADFSRelyingPartyTrust sin parámetros para obtener todos los objetos de confianza de la relación de confianza.

Sistemas basados en UNIX:

Asegúrese de que el reloj del sistema esté bien definido, por ejemplo con el comando siguiente:

ntpdate -u pool.ntp.org

El destinatario especificado en el SubjectConfirmation no coincide con la id de la entidad del proveedor de servicios

Compruebe los atributos, ya que deben coincidir exactamente con lo siguiente: FirstName, LastName, Email. Este mensaje de error puede deberse a que uno de los atributos no estaba bien escrito en mayúscula o minúscula, por ejemplo "email" en lugar de "Email".  Compruebe también el valor de destinario, ya que debe hacer referencia a la cadena de ACS.

Cadena ACS

Error 401 Credenciales no Autorizadas

Este error se produce cuando la aplicación no admite el inicio de sesión Federated y se debe iniciar sesión como un Adobe ID. FrameMaker, RoboHelp y Captivate son ejemplos de aplicaciones con este requisito.

Error: “se ha producido un error en el inicio de sesión de SAML entrante con el mensaje: La respuesta de SAML no contenía ninguna aserción”

Compruebe el flujo de trabajo de inicio de sesión.  Si puede acceder a la página de inicio de sesión en otro equipo u otra red, pero no de forma interna, el problema puede deberse a una cadena del agente de bloqueo.  Además, ejecute un calco de SAML y confirme que el nombre, los apellidos y el nombre de usuario como dirección de correo electrónico correctamente formateada estén en el asunto de SAML.

Error 400 Solicitud incorrecta / Error “El estado de la solicitud de SAML ha sido Sin Éxito" / Error en la validación de la Certificación SAML

Error 400 Solicitud incorrecta

Confirme que se está enviando la aserción de SAML adecuada:

  • Asegúrese de que el proveedor de identidades pase los siguientes atributos (distinción de mayúsculas y minúsculas) en la aserción de SAML: Nombre, Apellidos y dirección de correo electrónico. Si estos atributos no están configurados en el IdP para que se envíen como parte de la configuración del conector de SAML 2.0, la autenticación no se funcionará.
  • No tener un elemento NameID en el asunto. Asegúrese de que el elemento asunto contiene un elemento de NameId. Debe ser igual al atributo del correo electrónico que debe ser la dirección de correo electrónico del usuario que desea autenticar.
  • Errores ortográficos, especialmente los que son fáciles de pasar por alto como https o http.
  • Asegúrese de que se ha proporcionado el certificado correcto. Los IDPs deben estar configurados para utilizar solicitud/respuestas de SAML sin comprimir. El protocolo de SAML entrante de Okta solo funciona con la configuración sin comprimir (configuración no comprimida).

Una utilidad tal como SAML Tracer para Firefox puede ayudar a desempaquetar la aserción y a mostrarla para inspección. Si necesita asistencia del servicio de soporte de Adobe, se le pedirá este archivo. 

El ejemplo práctico siguiente puede ayudar con el correcto formateado de la aserción de SAML:

Descargar

Con Microsoft ADFS:

  1. cada cuenta de Active Directory debe tener una dirección de correo electrónico que aparece en Active Directory para iniciar sesión correctamente (registro de eventos: La respuesta de SAML no tiene NameId en la aserción). Compruebe esto primero.
  2. Acceda al tablero
  3. Haga clic en la ficha Identidad y en el dominio.
  4. Haga clic en Editar Configuración.
  5. Busque el enlace de IDP. Cambie a HTTP-POST y guarde el cambio. 
  6. Vuelva a intentar la experiencia de inicio de sesión.
  7. Si funciona, pero prefiere el ajuste anterior, cambie a HTTP-REDIRECT y vuelva a cargar los metadatos en ADFS.

Con otros IdP:

  1. Si se produce el error 400 significa que un inicio de sesión con éxito ha sido rechazado por su IdP.
  2. Compruebe los registros de IdP para averiguar el origen del error.
  3. Corrija el problema e inténtelo de nuevo.

Configuración de Microsoft ADFS

Consulte nuestra guía paso a paso para configurar Microsoft ADFS.

Si un cliente de Mac tiene una ventana en blanco en Creative Cloud, asegúrese de que el agente de usuario de “Creative Cloud” sea de confianza.

Configuración de Microsoft Azure

Consulte nuestra guía paso a paso para configurar Microsoft Azure.

Configuración de OneLogin

Consulte nuestra guía paso a paso para configurar OneLogin.

Configuración de Okta

Consulte nuestra guía paso a paso para configurar Okta.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea