在您的伺服器上開啟 AD FS 管理應用程式,並在「AD FS > 服務 > 端點」資料夾中選取「同盟中繼資料」。
- Adobe 企業和團隊:管理指南
- 規劃部署
- 基本概念
- 部署指南
- 部署適用於教育的 Creative Cloud
- 設定您的組織
- 身分類型 | 總覽
- 設定身分 | 總覽
- 使用 Enterprise ID 設定組織
- 設定 Azure AD 聯盟和同步
- 設定 Google Federation 與同步
- 使用 Microsoft ADFS 設定組織
- 為學區入口網站和 LMS 設定組織
- 使用其他身分提供者設定組織
- SSO 常見問題和疑難排解
- 管理您的組織設定
- 管理使用者
- 管理產品和權利
- 開始使用 Global Admin Console
- 管理儲存空間和資產
- 儲存
- 資產移轉
- 向使用者收回資產
- 學生資產移轉 | 僅限 EDU
- 管理服務
- Adobe Stock
- 自訂字型
- Adobe Asset Link
- Adobe Acrobat Sign
- 適用於企業的 Creative Cloud – 免費會籍
- 部署應用程式和更新
- 總覽
- 建立套件
- 自訂套件
- 部署套件
- 管理更新
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- 疑難排解
- 管理您的團隊帳戶
- 續約
- 管理合約
- 報告和記錄
- 取得協助
解決常見身份驗證錯誤、驗證設定,並疑難排解 Adobe 產品中與 Federated ID (SSO) 相關的登入問題。取得修復 SAML 錯誤、憑證問題和其他驗證困難的提示。
如果您的組織已透過 Google Federation 或 Microsoft Azure Sync 設定 SSO,請參閱以下文章:
概觀
在 Adobe Admin Console 內成功設定 SSO 之後,請確定您已選取「下載 Adobe 中繼資料檔案」,並將 SAML XML 中繼資料檔案儲存到您的電腦上。 您的身分提供者需要這個檔案才能啟用單一登入。將 XML 設定詳細資料正確匯入到身分提供者 (IdP)。如此才能整合 SAML 與您的 IdP,而且此動作可確認資料設定正確。
如果您對於如何使用 SAML XML 中繼資料檔案來設定 IdP 有疑問,請直接與您的 IdP 聯繫以獲得指示,這會因 IdP 而異。
基本疑難排解
單一登入問題通常是由容易忽略的基本錯誤所造成。特別要檢查以下項目:
- 用戶已指派給具有權利的產品描述檔。
- 發送到 SAML 的用戶名稱符合企業控制面板中的用戶名稱。
- 請檢查 Admin Console 和您的身分提供者中的所有項目,看看是否有拼字或語法錯誤。
- Creative Cloud 桌面應用程式已更新至最新版本。
- 用戶已登入正確的地方 (Creative Cloud 桌面應用程式、Creative Cloud 應用程式或 Adobe.com)
其他常見錯誤的解決方案
錯誤:標示「再試一次」按鈕的「錯誤發生」
此錯誤通常發生在用戶驗證成功且 Okta 已成功將驗證回應轉寄給 Adobe 之後。
在 Adobe Admin Console 中,驗證以下項目:
在「身分」索引標籤上︰
- 確定關聯的網域已啟用。
在「產品」索引標籤上︰
- 確定用戶與正確的產品暱稱相關聯,並且位在您宣告要設定為 Federated ID 的網域中。
- 確定產品暱稱有指派正確的權利。
在「用戶」索引標籤上︰
- 確定用戶的用戶名稱採用完整電子郵件地址的格式。
錯誤:登入時「存取被拒絕」
此錯誤的可能原因:
- 在 SAML 聲明中傳送的用戶名稱或電子郵件地址與在 Admin Console 中輸入的資訊不符。
- 用戶未與正確的產品建立關聯,或是產品未與正確的權利建立關聯。
- 採用的 SAML 用戶名稱不是電子郵件地址。所有用戶都必須位在您在設定程序中所宣告的網域中。
- 您的 SSO 用戶端在登入過程中使用了 JavaScript,而且您正在嘗試登入不支援 JavaScript 的用戶端。
解決方法:
- 檢查 Adobe Admin Console 中的使用者名稱和電子郵件,並比對該值與 SAML 記錄中的 NameID 和電子郵件屬性。
- 驗證用戶的儀表板設定:用戶資訊和產品描述檔。
- 執行 SAML 追蹤並驗證傳送的資訊是否與儀表板相符,然後更正所有不一致之處。
錯誤:「另一個用戶目前已登入」
「另一個用戶目前已登入」錯誤發生在 SAML 聲明中傳送的屬性不符合之前用來啟動登入程序的電子郵件地址時。
執行 SAML trace 並確定要登入的用戶的電子郵件地址與以下內容相符:
- 列在 Admin Console 中的用戶電子郵件地址
- 在 SAML 聲明的 NameID 欄位中傳回的用戶名稱
錯誤:「SAML 回應中的發行者不符合為身分提供者設定的發行者」
SAML 聲明中的 IDP 發行者不同於輸入 SAML 中的設定。尋找拼字錯誤 (例如 http 和 https)。在使用客戶 SAML 系統檢查 IDP 發行者字串時,您要尋找的是與他們提供的字串完全相符的字串。有時出現此問題是因為結尾遺漏斜線。
如果您需要此錯誤的協助,請提供您在 Adobe 儀表板中輸入的 SAML 追蹤和值。
錯誤:「SAML 回應中的數位簽名並未使用身分提供者的憑證進行驗證」
此問題發生在您目錄的憑證已過期時。若要更新憑證,您必須從身分提供者下載憑證或中繼資料,然後在 Adobe Admin Console 中上傳。
例如,如果您的 IdP 是 Microsoft AD FS,請依照以下步驟進行:
-
-
使用瀏覽器瀏覽至針對同盟中繼資料所提供的 URL,並下載檔案。例如,https://<您的 AD FS 主機名稱>/FederationMetadata/2007-06/FederationMetadata.xml。
註解:如果有提示任何警告,請接受。
-
登入 Adobe Admin Console 的設定索引標籤,並瀏覽至「身分設定 > 目錄」。選取要更新的目錄,然後按一下「SAML 提供者」卡片上的「設定」。
然後上傳 IdP 中繼資料檔案,並按一下「儲存」。
錯誤:「目前時間早於聲明條件中所指定的時間範圍」
Windows 型 IdP 伺服器:
1. 確定系統時鐘與準確的時間伺服器同步。
使用以下命令根據您的時間伺服器來檢查精準系統時鐘;「階段位移」值應為一秒鐘的一小部分:
w32tm /query /status /verbose
您可以使用以下命令立即重新同步系統時鐘與時間伺服器:
w32tm /resync
如果系統時鐘設定正確,但仍然出現上述錯誤,您可能必須調整時間誤差設定,以增加伺服器與用戶端的時鐘之間差異的容許度。
2. 增加伺服器之間允許的系統時鐘差異。
使用系統管理權限從 Powershell 視窗中,將允許的誤差值設定為 2 分鐘。查看您是否可以登入,然後根據結果增加或減少該值。
使用以下命令判斷相關信賴憑證者信任的目前時間誤差設定:
Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew
上一個命令輸出的「Identifier」欄位中針對該特定設定所顯示的 URL 會識別信賴憑證者信任。針對「識別碼」索引標籤上「信賴憑證者信任」欄位中的相關信賴憑證者信任,此 URL 也會顯示在屬性視窗中的 ADFS 管理公用程式內,如底下螢幕擷圖所示。
使用以下命令將時間誤差設定為 2 分鐘,並相應地替換識別碼位址:
Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2
UNIX 型 IdP 伺服器
確定系統時鐘已設定正確,這可以使用 ntpd 服務或是手動從 root shell 使用 ntpdate 命令或使用 sudo,如下所示 (請注意,如果時間偏移大於 0.5 秒,則變更不會立即發生,但會慢慢更正系統時鐘)。確定時區也設定正確。
# ntpdate -u pool.ntp.org
這適用於身分提供者,例如 Shibboleth。
錯誤:401 認證未經授權
此錯誤發生在應用程式不支援 Federated ID 登入,而必須使用 Adobe ID 登入時。FrameMaker、RoboHelp 和 Adobe Captivate 是具有此要求的應用程式範例。
錯誤:「傳入 SAML 登入失敗和訊息:SAML 回應未包含任何聲明」
檢查登入工作流程。如果您可以在其他電腦或網路上存取登入頁面,但無法在內部存取,就表示問題可能發生在封鎖代理字串。此外,請執行 SAML 追蹤,並確認 SAML 主旨中有使用名字、姓氏和使用者名稱正確格式化的電子郵件地址。
確認已傳送正確的 SAML 聲明:
- 主旨中沒有 NameID 元素。確認 Subject 元素包含 NameId 元素。這必須等於 Email 屬性,該屬性應該是您要驗證用戶的電子郵件地址。
- 拼字錯誤,特別是 https 和 http 之類的錯誤容易被忽略。
- 確認是否提供了正確的憑證。IDP 必須設定為使用未壓縮的 SAML 要求/回應。
類似 Firefox 適用的 SAML Tracer 等公用程式可協助將聲明解壓縮,並將其顯示以供檢查。如果您需要 Adobe 客戶服務提供協助,您將必須提供此檔案。如需詳細資訊,請參閱「如何執行 SAML 追蹤」。
以下實用範例可能有助於正確格式化 SAML 聲明:
下載
搭配 Microsoft ADFS:
- 每個 Active Directory 帳戶都必須擁有列在 Active Directory 中的電子郵件地址,才能成功登入 (事件記錄:SAML 回應在聲明中沒有 NameId)。請先檢查此項目。
- 存取儀表板。
- 按一下「身分」索引標籤和網域。
- 按一下「編輯設定」。
- 找出 IDP 繫結。切換到 HTTP-POST 然後儲存。
- 重新測試登入體驗。
- 如果有效,但您希望使用先前的設定,只需切換回 HTTP-REDIRECT,然後將中繼資料重新上傳到 ADFS。
搭配其他 IdP:
- 遇到錯誤 400 表示您的 IdP 已拒絕成功登入。
- 請檢查您的 IdP 記錄,以找出錯誤來源。
- 更正問題,然後重試。
錯誤:「403 憑證故障」
錯誤:"403 app_not_configured_for_user”
更新在 Google Console 中的實體 ID。然後匯出中繼資料檔案,並將其上傳到 Adobe Admin Console。。
錯誤:「您現在無法存取此內容」或「您無法從這裡到達那裡」
當組織在 IdP 中啟用條件 Access 原則時,通常會發生此錯誤。
如果您使用託管軟體套件來部署產品,請選取以瀏覽器為主的身份驗證選項,然後從 Adobe Admin Console 建立託管軟體套件。然後,將其部署到用戶的裝置上。
如果沒有,用戶可以開啟 Creative Cloud 桌面應用程式,然後從「說明」選單中選取「使用瀏覽器登入」。
錯誤:「應用程式未指派」
在這種情況下,管理員必須將使用者新增至在其 IdP 建立的 Adobe SAML 應用程式。了解如何在 Google Admin Console 或 Microsoft Azure 入口網站上建立 Adobe SAML 應用程式。
錯誤:「如果您沒有此服務的存取權限。請聯絡您的 IT 管理員,以便取得存取權或使用 Adobe ID 登入」
由於在 SAML 聲明中傳送的用戶名稱或電子郵件地址與在 Admin Console 中輸入的資訊不符,請檢查 SAML 記錄。