Käyttöopas Peruuta

Federated ID (SSO) -kirjautumisvirheiden ratkaiseminen

Ratkaise yleiset todennusvirheet, tarkista määritykset ja suorita Adobe-tuotteiden Federated ID (SSO) -kirjautumiseen liittyvien ongelmien vianmääritys. Hanki vinkkejä SAML-virheiden, varmenneongelmien ja muiden todennushaasteiden korjaamiseen.

Huomautus:

Perehdy seuraaviin artikkeleihin, jos organisaatiosi on ottanut käyttöön SSO:n Google Federationilla tai Microsoft Azure Syncillä:

Yleiskatsaus

Kun olet määrittänyt SSO:n Adobe Admin Consolessa, varmista, että olet valinnut Lataa Adoben metatietotiedosto ‑vaihtoehdon ja tallentanut SAML XML ‑metatietotiedoston tietokoneeseen. Tunnistetietojen toimittaja tarvitsee tämän tiedoston kertakirjautumisen ottamiseksi käyttöön. Tuo XML-kokoonpanon tiedot asianmukaisesti tunnistetietojen toimittajaan (IdP). Tämä on edellytys SAML-integraatioon käyttämälläsi IdP:llä, ja siten voit varmistaa, että tiedot on määritetty asianmukaisesti.

Jos sinulla on kysyttävää siitä, miten voit käyttää SAML XML ‑metatietotiedostoa IdP:n määrittämiseen, ota yhteyttä suoraan IdP:hen ja pyydä ohjeet, jotka vaihtelevat IdP-kohtaisesti.

Lataa Adoben metatietotiedosto

Perusvianmääritys

Kertakirjautumiseen liittyvät ongelmat johtuvat usein yksinkertaisista virheistä, jotka jäävät helposti huomaamatta. Tarkista erityisesti seuraavat:

  • Käyttäjä on määritetty tuoteprofiiliin, jolla on oikeudet.
  • SAML:ään lähetetty käyttäjänimi vastaa yrityksen koontinäytössä olevaa käyttäjänimeä.
  • Tarkista kaikki merkinnät Admin Consolessa ja tunnistetietojen toimittajalla oikeinkirjoitus- tai syntaksivirheiden varalta.
  • Creative Cloud ‑tietokonesovellus on päivitetty uusimpaan versioon.
  • Käyttäjä kirjautuu sisään oikeaan paikkaan (Creative Cloud ‑tietokonesovellukseen, Creative Cloud ‑sovellukseen tai Adobe.comiin).

Ratkaisuja muihin yleisiin virheisiin

Virhe: ”Ilmeni virhe”, jossa on painike ”Yritä uudelleen”

Tämä virhe ilmenee tavallisesti sen jälkeen, kun käyttäjän todennus on onnistunut ja Okta on lähettänyt todennusvasteen Adobelle.

Tarkista Adobe Admin Consolessa seuraavat asiat:

Käyttäjätiedot-välilehdessä:

  • Varmista, että liitetty toimialue on aktivoitu.

Tuotteet-välilehdessä:

  • Varmista, että käyttäjä on liitetty tuotteen oikeaan lisänimeen ja toimialueeseen, jonka olet varannut määritettäväksi Federated ID:ksi.
  • Varmista, että tuotteen lisänimelle on lisätty oikeat oikeutukset.

Käyttäjät-välilehdessä:

  • Varmista, että käyttäjän käyttäjänimi on sähköpostiosoite.

Virhe: ”Käyttö estetty” sisäänkirjautumisen aikana

Tämän virheen mahdolliset syyt:

  • SAML-vahvistuksessa lähetettävä käyttäjänimi tai sähköpostiosoite ei vastaa Admin Consolessa annettuja tietoja.
  • Käyttäjää ei ole liitetty oikeaan tuotteeseen tai tuotetta ei ole liitetty oikeanlaisella oikeutuksella.
  • SAML-käyttäjänimi on jokin muu kuin sähköpostiosoite. Kaikkien käyttäjien tulee olla varaamallasi toimialueella osana käyttöönottoprosessia.
  • SSO-ohjelma käyttää JavaScriptiä osana kirjautumisprosessia, ja yrität kirjautua ohjelmaan, joka ei tue JavaScriptiä.

Voit ratkaista ongelman seuraavasti:

  • Tarkista käyttäjänimi ja sähköpostiosoite Adobe Admin Consolessa ja käytä SAML-lokien NameID- ja Email-määritteissä käytettyjä arvoja.
  • Tarkista käyttäjän koontinäyttökokoonpano: käyttäjätiedot ja tuoteprofiili.
  • Suorita SAML-jäljitys, varmista, että lähetettävät tiedot vastaavat koontinäytön tietoja, ja korjaa mahdolliset epäyhtenäisyydet.

Virhe: ”Toinen käyttäjä on kirjautuneena”

Virhe ”Toinen käyttäjä on kirjautuneena” esiintyy, kun SAML-vahvistuksessa lähetetyt määritteet eivät vastaa kirjautumisprosessin käynnistyessä käytettyä sähköpostisoitetta.

Suorita SAML-jäljitys ja varmista, että käyttäjän kirjautumisessa käyttämä sähköpostiosoite vastaa

  • käyttäjän Admin Consolessa annettua sähköpostiosoitetta
  • käyttäjän käyttäjänimeä, joka palautetaan SAML-vahvistuksen NameID-kentässä.

Virhe: ”SAML-vasteessa oleva toimittaja ei vastaa IdP:lle määritettyä toimittajaa”

SAML-vahvistuksessa oleva IDP Issuer poikkeaa siitä, joka on määritetty saapuvassa SAML-protokollassa (Inbound SAML). Etsi kirjoitusvirheitä (esimerkiksi http https:n sijaan). Kun tarkistat IDP Issuer ‑merkkijonoa asiakkaan SAML-järjestelmässä, sinun tulee etsiä merkkijonoa, joka vastaa täsmällisesti annettua merkkijonoa. Tämä ongelma esiintyy silloin tällöin, koska lopusta on puuttunut vinoviiva.​​

Jos tarvitset tähän virheeseen liittyvää apua, anna SAML-jälki ja Adoben koontinäytössä antamasi arvot.

Virhe: ”SAML-vasteessa oleva digitaalinen allekirjoitus ei kelpaa IdP:n varmenteen kanssa”

Tämä ongelma ilmenee, kun hakemistosi varmenne on vanhentunut. Sinun on varmenteen päivittämiseksi ladattava varmenne tai metatiedot tunnistetietojen toimittajalta ja lähetettävä ne Adobe Admin Consoleen.

Noudata esimerkiksi alla olevia ohjeita, jos tunnistetietojen toimittaja on Microsoft AD FS:

  1. Avaa AD FS Management ‑sovellus palvelimella ja valitse kansiosta AD FS > Service > Endpoints (AD FS > Palvelu > Päätepisteet)  Federation Metadata (Yhdistämisen metatiedot).

  2. Siirry selaimella yhdistämisen metatietojen URL-osoitteeseen ja lataa tiedosto. Esimerkki: https://<AD FS ‑isäntänimi>/FederationMetadata/2007-06/FederationMetadata.xml.

    Huomautus:

    Hyväksy kaikki varoitukset pyydettäessä.

  3. Siirry Admin Consolen Asetukset-välilehteen ja valitse KäyttäjätietoasetuksetHakemistot. Valitse päivitettävä hakemisto ja sitten SAML provider (SAML-palveluntarjoaja) ‑kortista Configure (Määritä).

    Lähetä sitten IdP-metatietotiedosto ja valitse Save (Tallenna).

Virhe: ”Tämänhetkinen kellonaika on ennen vahvistusehdoissa määritettyä aikaikkunaa”

Windows-pohjainen IdP-palvelin:

1. Varmista, että järjestelmän kello on synkronoitu tarkan aikapalvelimen kanssa.

Tarkista järjestelmän kellon tarkkuus aikapalvelimeen verrattuna seuraavalla komennolla. Phase Offset (Vaiheen poikkeama) ‑arvon pitäisi olla sekunnin murto-osa:

w32tm /query /status /verbose

Järjestelmän kellon voi synkronoida välittömästi aikapalvelimen kanssa seuraavalla komennolla:

w32tm /resync

Jos järjestelmän kellon asetukset ovat oikein, mutta edellä kuvattu virhe näytetään edelleen, sinun on säädettävä aikapoikkeaman arvoa palvelimen ja asiakkaan kellojen välisen eron toleranssin lisäämiseksi.

2. Lisää järjestelmän kellon sallittua poikkeamaa palvelimiin nähden.

Määritä järjestelmänvalvojan oikeuksin varustetussa PowerShell-ikkunassa sallitun poikkeaman arvo kahteen minuuttiin. Tarkista, pystytkö kirjautumaan sisään, ja sen jälkeen joko suurenna tai pienennä arvoa tuloksen mukaan.

Selvitä voimassa oleva luottavan osapuolen luottamuksen aikapoikkeaman arvo seuraavalla komennolla:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Luottavan osapuolen luottamus ilmaistaan edellisen kyseisiä määrityksiä koskevan komennon tuloksen Identifier (Tunniste) -kentässä näkyvänä URL-osoitteena. Tämä URL-osoite näytetään myös ADFS:n hallintaohjelmassa kyseisen luottavan osapuolen luottamuksen ominaisuusikkunan Identifiers (Tunnisteet) -välilehden kentässä Relying Party Trusts (Luottavan osapuolen luottamukset), kuten alla olevassa näyttökuvassa näkyy.

Aseta aikapoikkeamaksi kaksi minuuttia seuraavalla komennolla ja korvaa Identifier (Tunniste) -osoite vastaavasti:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

UNIX-pohjainen IdP-palvelin

Tarkista järjestelmän kellon asetukset joko ntpd-palvelun avulla tai manuaalisesti ntpdate-komennolla root shell -komentoriviltä tai sudolla alla olevan kuvan mukaisesti (huomaa, että jos aikapoikkeama on yli 0,5 sekuntia, muutos ei tapahdu välittömästi, vaan järjestelmän kelloa siirretään hitaasti). Tarkista, että myös aikavyöhyke on asetettu oikein.

# ntpdate -u pool.ntp.org

Huomautus:

Tämä toimii tunnistetietopalveluissa, kuten Shibbolethissa.

Virhe: 401 ”luvattomat tunnistetiedot”

Tämä virhe ilmenee, kun sovellus ei tue Federated ID ‑kirjautumista, ja käyttäjän on kirjauduttava sisään Adobe ID:llä. FrameMaker, RoboHelp ja Adobe Captivate ovat esimerkkejä sovelluksista, jotka edellyttävät tätä.

Virhe: ”Saapuva SAML-kirjautuminen epäonnistui viestillä: SAML-vaste ei sisältänyt vahvistuksia”

​Tarkista kirjautumistyönkulku.  Jos pääset kirjautumisnäyttöön toisessa laitteessa tai verkossa, mutta et sisäisesti, syynä saattaa olla agentin estävä merkkijono.  Suorita myös SAML-jäljitys ja varmista, että SAML-aihe sisältää etunimen, sukunimen ja käyttäjänimen oikein muotoiltuna sähköpostiosoitteena.

Virhe: ”400 virheellinen pyyntö” tai ”SAML-pyynnön tila ei onnistunut.” tai ”SAML-varmenteen tarkistus epäonnistui”

Varmista, että lähetetään oikea SAML-vahvistus:

  • Subject (Aihe) ‑elementissä ei ole NameID-elementtiä. Varmista, että Subject (Aihe) ‑elementti sisältää NameId-elementin. Sen tulee vastata Email (Sähköposti) ‑määritettä, jonka tulisi olla sen käyttäjän sähköpostiosoite, jonka haluat todentaa.
  • Kirjoitusvirheet, esimerkiksi sellaiset, jotka jäävät helposti huomiotta, kuten https http:n sijaan.
  • Varmista, että on toimitettu oikea varmenne. IdP:t tulee määrittää käyttämään pakkaamattomia SAML-pyyntöjä tai -vasteita.

SAML Tracer for Firefoxin kaltaisella apuohjelmalla voit purkaa vahvistuksen ja näyttää sen tarkistusta varten. Jos tarvitset Adoben asiakaspalvelun apua, sinulta pyydetään tämä tiedosto. Lisätietoja on SAML-jäljityksen suorittamista käsittelevässä artikkelissa.

Seuraavasta esimerkistä saattaa olla apua SAML-vahvistuksen oikeassa muotoilussa:

Lataa

Microsoft ADFS:ää käytettäessä:

  1. Jokaisella Active Directory ‑tilillä tulee olla sähköpostiosoite, joka on Active Directory ‑luettelossa, jotta kirjautuminen onnistuu (tapahtumaloki: The SAML response does not have NameId in the assertion (SAML-vasteen vahvistuksessa ei ole NameId-elementtiä)). Tarkista tämä ensin.
  2. Avaa koontinäyttö
  3. Napsauta Identity (Käyttäjätiedot) ‑välilehteä ja toimialuetta.
  4. Valitse Edit Configuration (Muokkaa kokoonpanoa).
  5. Etsi IDP Binding (IDP-sidonta). Vaihda arvoksi HTTP-POST ja tallenna. 
  6. Testaa kirjautumista uudelleen.
  7. Jos se toimii, mutta haluat käyttää aiempaa asetusta, vaihda arvoksi jälleen HTTP-REDIRECT ja lähetä metatiedot uudelleen ADFS:ään.

Muita IdP:itä käytettäessä:

  1. Virhe 400 tarkoittaa, että käyttämäsi IdP hylkäsi onnistuneen sisäänkirjautumisen.
  2. Tarkista IdP:n lokit ja selvitä virheen syy.
  3. Korjaa ongelma ja yritä uudelleen.

Virhe: ”403 virheellisesti toimiva varmenne”

Virhe: ”403 app_not_configured_for_user”

Päivitä entiteettitunnus Google Consolessa. Vie sitten metatietotiedosto ja lähetä se Adobe Admin Consoleen.

Virhe: ”et voi käyttää tätä juuri nyt” tai ”et pääse sinne täältä”

Tämä virhe ilmenee yleensä silloin, kun organisaatio on ottanut käyttöön ehdollisen käyttöoikeuskäytännön IdP:ssä.

Jos käytät tuotteiden käyttöönotossa hallittuja paketteja, valitse selainpohjainen todennusvaihtoehto ja luo hallittu paketti Adobe Admin Consolessa. Ota se sitten käyttäjän laitteessa käyttöön.

Muussa tapauksessa käyttäjät voivat avata Creative Cloud ‑tietokonesovelluksen ja valita Sisäänkirjautuminen selaimella ‑vaihtoehdon Ohje-valikosta.

Virhe: ”Sovellusta ei ole määritetty”

Tässä tapauksessa järjestelmänvalvojan on lisättävä käyttäjät heidän IdP:llään luotuun Adobe SAML ‑sovellukseen. Opi luomaan Adobe SAML ‑sovellus Googlen hallintakonsolissa tai Microsoft Azure Portalissa.

Virhe: ”Sinulla ei ole oikeuksia käyttää tätä palvelua. Ota yhteyttä IT-järjestelmänvalvojaan käyttöoikeuksien hankkimiseksi tai kirjaudu sisään Adobe ID:llä.”

Tarkista SAML-lokit, sillä SAML-vahvistuksessa lähetettävä käyttäjänimi tai sähköpostiosoite ei vastaa Admin Consolessa annettuja tietoja.

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?