Yleistä

Yritettäessä kirjautua Adoben tuotteisiin, palveluihin tai mobiilisovelluksiin Federated ID:llä (SSO) tuloksena on jokin seuraavista virheviesteistä.

Kun olet määrittänyt SSO:n Adoben hallintakonsolissa, varmista, että olet napsauttanut Download Metadata (lataa metatiedot) ja tallentanut SAML XML Metadata -tiedoston tietokoneeseesi. Käyttämäsi tunnistetietojen toimittaja (identity provider, IdP) vaatii tämän tiedoston SSO:n käyttöönottoa varten. XML:n määritystiedot tulee tuoda asianmukaisesti käyttämääsi IdP-ohjelmistoon. Tämä on edellytys SAML-integraatioon käyttämälläsi IdP:llä, ja siten voit varmistaa, että tiedot on määritetty asianmukaisesti.

Seuraavassa on joitakin yleisiä määritysongelmia:

  • Sertifikaatti on muussa kuin PEM-muodossa.
  • Sertifikaatin pääte on muu kuin .cer. .pem ja .cert eivät toimi.
  • Sertifikaatti on salattu.
  • Sertifikaatti on yksirivisessä muodossa. Edellytyksenä on monirivinen sertifikaatti.
  • Sertifikaatin kumoamisen vahvistus on käytössä (tätä ei tueta tällä hetkellä).
  • IdP:n myöntäjä SAML-protokollassa ei ole sama kuin se, joka on määritetty hallintakonsolissa (kyseessä voi olla esimerkiksi kirjoitusvirhe, puuttuvat merkit tai https http:n sijaan).

Jos sinulla on kysymyksiä SAML XML Metadata -tiedoston käyttämisestä IdP:n määrittämiseksi, ota suoraan yhteyttä tunnistetietojen toimittajaan saadaksesi ohjeita, sillä ne vaihtelevat IdP:n mukaan.

Esimerkkejä tietyille tunnistetietojen toimittajille (tämä luettelo ei kata kaikkia – kaikki SAML 2 -yhteensopivat IdP:t toimivat):

Okta: Ota vaaditut tiedot ylös XML-tiedostosta manuaalisesti ja syötä ne asianmukaisiin käyttöliittymän kenttiin tietojen määrittämiseksi oikein.

Ping Federate: Lähetä XML-tiedosto tai syötä tiedot asianmukaisiin käyttöliittymän kenttiin.

Microsoft ADFS: Sertifikaatin tulee olla PEM-muodossa, mutta ADFS:n oletusmuoto on DER. Voit muuntaa sertifikaatin käyttämällä openssl-komentoa, joka on käytettävissä OS X:ssä, Windowsissa tai Linuxissa seuraavasti:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Yllä olevan vaiheen suorittamisen jälkeen anna sertifikaatille .cer-päätteinen nimi.

Varmista myös, että oikea sertifikaatti on käytössä, jos sinulla on niitä enemmän kuin yksi; sertifikaatin tulee olla sama kuin se, joka allekirjoittaa pyynnöt. (Jos esimerkiksi "token signing” -sertifikaatti allekirjoittaa pyynnöt, tulee käyttää tätä sertifikaattia.) Sertifikaatin kumoamisen vahvistuksen tulee olla pois käytöstä.

Jos olet määrittänyt IdP:n mielestäsi oikein, kokeile jotakin seuraavista riippuen saamastasi virheestä.

Download Metadata -linkki

Perusvianmääritys

Kertakirjautumista koskevat ongelmat johtuvat usein perusvirheistä, jotka jäävät helposti huomaamatta. Tarkista erityisesti seuraavat seikat:

  • Käyttäjä on liitetty tuotekonfiguraatioon oikeutuksella.
  • Käyttäjän etunimi, sukunimi ja sähköpostiosoite lähetetään SAML-protokollassa täsmälleen samassa muodossa, jossa ne ovat Enterprise Dashboardissa, ja niillä on SAML-protokollassa oikeanlainen selite.
  • Tarkista kaikki kohdat hallintakonsolissa ja IdP:ssä, ettei niissä ole kirjoitus- tai syntaksivirheitä.
  • Creative Cloud -työpöytäsovellus on päivitetty uusimpaan versioon.
  • Käyttäjä kirjautuu oikeaan paikkaan (CC-työpöytäsovellus, CC-sovellus tai adobe.com)

Virhe ”An error occurred” (Ilmeni virhe), jossa on painike ”Try Again” (Yritä uudelleen)

An error occurred - TRY AGAIN

Tämä virhe ilmenee tavallisesti sen jälkeen, kun käyttäjän todennus on onnistunut ja Okta on lähettänyt todennusvasteen Adobelle.

Varmista Adoben hallintakonsolissa seuraavat:

Identity-välilehdellä:

  • Varmista, että liitetty toimialue on aktivoitu.

Products-välilehdellä:

  • Varmista, että käyttäjä on liitetty tuotteen oikeaan lisänimeen ja toimialueeseen, jonka olet varannut määritettäväksi Federated ID:ksi.
  • Varmista, että tuotteen lisänimelle on lisätty oikea oikeutus (tai useampi).

Users-välilehdellä:

  • Varmista, että käyttäjän käyttäjänimi on sähköpostiosoite.

Virhe: ”Access denied” (Käyttö kielletty) kirjautumisen yhteydessä

Access Denied -virhe

Mahdollisia syitä tälle virheelle:

  • SAML-vahvistuksessa (SAML Assertion) lähetettävä etunimi, sukunimi tai sähköpostiosoite ei vastaa hallintakonsoliin kirjattuja tietoja.
  • Käyttäjää ei ole liitetty oikeaan tuotteeseen tai tuotetta ei ole liitetty oikeanlaisella oikeutuksella.
  • SAML-käyttäjänimi on jokin muu kuin sähköpostiosoite. Kaikkien käyttäjien tulee olla varaamallasi toimialueella osana käyttöönottoprosessia.
  • SSO-ohjelma käyttää JavaScriptiä osana kirjautumisprosessia ja yrität kirjautua ohjelmaan, joka ei tue JavaScriptiä (esimerkiksi Creative Cloud Packager).

Ratkaisu:

  • Tarkista käyttäjän Dashboard-konfiguraatiot: käyttäjätiedot ja tuotekonfiguraatiot.
  • Suorita SAML Tracer ja varmista, että lähetettävät tiedot vastaavat Dashboardin tietoja. Korjaa mahdolliset epäyhtenäisyydet.

Virhe ”Another user is currently logged in” (Toinen käyttäjä on kirjautuneena)

Virhe ”Another user is currently logged in” esiintyy, kun SAML-vahvistuksessa lähetetyt attribuutit eivät vastaa kirjautumisprosessin käynnistyessä käytettyä sähköpostisoitetta.

Tarkista SAML-vahvistuksessa käytetyt attribuutit ja varmista, että ne vastaavat täysin tunnusta, jota käyttäjä yrittää käyttää sekä hallintakonsolissa olevaa tunnusta.

Virhe "Failed to make a call as the system principle” (Kutsu epäonnistui järjestelmäperiaatteena) tai "User creation failed” (Käyttäjän luonti epäonnistui)

Virhe "Failed to make a call as the system principle” (jota seuraa satunnainen koodi) tai "User creation failed” kertoo, että SAML-attribuuteissa on jokin ongelma. Varmista, että attribuuttien nimien kirjainkoko on oikein (kirjainkoot ja nimeäminen): FirstName, LastName, Email. Jos esimerkiksi attribuutin lopussa on ”email” eikä ”Email”, näitä virheitä saattaa esiintyä.

Näitä virheitä saattaa esiintyä myös silloin, jos SAML-vahvistuksessa ei ole käyttäjän sähköpostiosoitetta elementissä Subject > NameId (käytettäessä SAML Tracer -ohjelmaa sen tulisi olla muodossa emailAddress ja sähköpostiosoitteen arvon tulisi olla teksti).  

Jos tarvitset apua Adoben tukipalveluista, liitä mukaan SAML Tracerin tulos.

 

Virhe "The Issuer in the SAML response did not match the issuer configured for the identity provider” (SAML-vasteessa oleva toimittaja ei vastaa IdP:lle määritettyä toimittajaa)

SAML-vahvistuksessa oleva IDP Issuer poikkeaa siitä, joka on määritetty saapuvassa SAML-protokollassa (Inbound SAML). Etsi kirjoitusvirheitä (esimerkiksi http https:n sijaan). Kun tarkistat IDP Issuer -merkkijonoa asiakkaan SAML-järjestelmässä, sinun tulee etsiä merkkijonoa, joka vastaa täsmällisesti annettua merkkijonoa. Tämä ongelma esiintyy silloin tällöin, koska lopusta on puuttunut vinoviiva.

Jos tarvitset apua tähän ongelmaan, liitä mukaan SAML Tracerin tulos ja arvot, jotka olet syöttänyt Adoben Dashboardiin.

Virhe "The digital signature in the SAML response did not validate with the identity provider's certificate” (SAML-vasteessa oleva digitaalinen allekirjoitus ei kelpaa IdP:n sertifikaatin kanssa)

Sertifikaattitiedosto on todennäköisesti väärä ja se tulee ladata uudelleen. Tämä ongelma ilmenee yleensä sen jälkeen, kun on tehty muutos ja hallintakonsoli viittaa väärään sertifikaattitiedostoon. Tarkista myös tiedostomuoto (sen tulee olla ADFS:lle PEM).

Virhe "The current time is before the time-range specified in the assertion conditions” (Tämänhetkinen kellonaika on ennen vahvistusehdoissa määritettyä aikaikkunaa)

Windows:

Korjaa järjestelmän kellonaika tai säädä aikapoikkeaman arvoa.

Järjestelmän kellon määrittäminen:

Tarkista järjestelmän kello tällä komennolla:

w32tm /query /status

Järjestelmän kelloa voi muuttaa Windows Serverissä seuraavalla komennolla:

w32tm /resync

Jos järjestelmän kellon asetukset ovat oikein, sinun täytyy ehkä luoda toleranssi IdP:n ja järjestelmän, jota se todentaa, väliselle erolle.

Kellon poikkeama

Aloita määrittämällä sallitun poikkeaman arvo 2 minuuttiin. Tarkista, pystytkö muodostamaan yhteyden, ja sen jälkeen joko suurenna tai pienennä arvoa riippuen tuloksesta. Tarkat tiedot löytyvät Microsoftin tukitietokannasta

Yhteenvetona kerrottakoon, että Powershellistä voi suorittaa seuraavia komentoja:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Alkuperäisten arvojen tarkistaminen
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Aseta poikkeama 2 minuuttiin

jossa "urn:party:sso" on yksi vastaanottajan tunnisteista

Huomautus: Voit käyttää komentoaGet-ADFSRelyingPartyTrust cmdlet ilman parametreja, jolloin saat kaikki vastaanottajan luottamusobjektit.

Unix-pohjaiset järjestelmät:

Varmista, että järjestelmän kello on säädetty oikein esimerkiksi seuraavalla komennolla:

ntpdate -u pool.ntp.org

The recipient specified in the SubjectConfirmation did not match our service provider entity id (SubjectConfirmation-komennossa määritetty vastaanottaja ei vastaa palveluntarjoajan entiteettitunnusta)

Check the attributes because they need to match the following case exactly: FirstName, LastName, Email. (Tarkista attribuutit, koska niiden tulee vastata kirjainkokoa täsmällisesti seuraavasti: FirstName, LastName, Email). Tämä virheviesti saattaa tarkoittaa sitä, että jonkin attribuutin kirjainkoko on väärä, esimerkiksi ”email”, kun pitäisi lukea ”Email”.  Tarkista myös vastaanottajan arvo – sen tulisi viitata ACS-merkkijonoon.

ACS-merkkijono

Virhe 401 unauthorized credentials (luvattomat tunnistetiedot)

Tämä virhe esiintyy, kun sovellus ei tue Federated-kirjautumista ja tulee kirjautua Adobe ID -tunnuksella. Tällaisia sovelluksia ovat esimerkiksi Framemaker, RoboHelp ja Captivate.

Virhe "Inbound SAML login failed with message: The SAML response contained no assertions” (Saapuva SAML-kirjautuminen epäonnistui viestillä: SAML-vaste ei sisältänyt vahvistuksia)

Tarkista kirjautumista koskeva työnkulku.  Jos pystyt käyttämään kirjautumissivua toisessa koneessa tai verkossa mutta et sisäisesti, ongelma saattaa liittyä estoagenttimerkkijonoon. Suorita myös SAML Tracer ja varmista, että SAML subject (aihe) -elementti sisältää attribuutit First Name, Last Name ja Username sähköpostiosoitteena oikeassa muodossa.

Virhe 400 bad request (epäkelpo pyyntö) / Virhe "The status of the SAML request was not successful” (SAML-pyynnön tila epäonnistui) / SAML certification validation failed (SAML-sertifioinnin varmistus epäonnistui)

Virhe 400 bad request

Varmista, että lähetetään oikeanlainen SAML-vahvistus:

  • Varmista, että IdP antaa seuraavat (merkkikoon huomioivat) attribuutit SAML-vahvistuksessa: FirstName, LastName, Email. Jos näitä attribuutteja ei ole määritetty IdP:ssä, joka lähetetään osana SAML 2.0 Connector -määritystä, todennus ei toimi.
  • Subject-elementissä ei ole NameID-elementtiä. Varmista, että Subject-elementti sisältää NameId-elementin. Sen tulee vastata Email-attribuuttia, jonka tulisi olla sen käyttäjän sähköpostiosoite, jonka haluat todentaa.
  • Kirjoitusvirheet, esimerkiksi sellaiset, jotka jäävät helposti huomiotta, kuten https http:n sijaan.
  • Varmista, että on toimitettu oikea sertifikaatti. IdP:t tulee määrittää käyttämään pakkaamattomia SAML-pyyntöjä tai -vasteita. Oktan saapuva SAML-protokolla toimii vain pakkaamaton-asetuksilla (ei pakattu-asetuksilla).

Apuohjelma, esimerkiksi Firefoxin SAML Tracer voi auttaa purkamaan vahvistuksen ja näyttämään sen tarkistusta varten. Jos tarvitset apua Adoben tukipalveluista, sinua pyydetään lähettämään tämä tiedosto. 

Seuraava esimerkki saattaa auttamaan SAML-vahvistuksen muodostamisessa oikein:

Lataa

Microsoft ADFS:

  1. Jokaisella Active Directory -tilillä tulee olla sähköpostiosoite, joka on Active Directory -luettelossa, jotta kirjautuminen onnistuu (tapahtumaloki): SAML-vasteen vahvistuksessa ei ole NameId-elementtiä). Tarkista tämä ensin.
  2. Käytä Dashboardia
  3. Napsauta Identity-välilehteä ja toimialuetta.
  4. Napsauta Edit Configuration.
  5. Etsi IDP Binding. Vaihda arvoksi HTTP-POST ja tallenna. 
  6. Testaa kirjautumista uudelleen.
  7. Jos se toimii, mutta haluat käyttää aiempaa asetusta, vaihda arvoksi jälleen HTTP-REDIRECT ja lähetä metatiedot uudelleen ADFS:ään.

Muut IdP:t:

  1. Virhe 400 tarkoittaa, että käyttämäsi IdP hylkäsi onnistuneen sisäänkirjautumisen.
  2. Tarkista IdP-lokeista virheen lähde.
  3. Korjaa ongelma ja yritä uudelleen.

Microsoft ADFS:n määrittäminen

Katso oppaasta ohjeet Microsoft ADFS:n määrittämiseen.

Jos Mac-asiakasohjelmassa on tyhjä ikkuna Creative Cloudissa, varmista, että ”Creative Cloud” -käyttäjäagentti on luotettu.

Microsoft Azuren määrittäminen

Katso oppaasta ohjeet Microsoft Azuren määrittämiseen.

OneLoginin määrittäminen

Katso oppaasta ohjeet OneLoginin määrittämiseen.

Oktan määrittäminen

Katso oppaasta ohjeet Oktan määrittämiseen.

Lisensoitu Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License -lisenssin mukaan.  Creative Commons -lisenssien ehdot eivät koske Twitter™- ja Facebook-viestejä.

Lakisääteiset ilmoitukset   |   Online-tietosuojakäytäntö