使用手冊 取消

解決 Federated ID (SSO) 登入錯誤

  1. Adobe 企業和團隊:管理指南
  2. 規劃部署
    1. 基本概念
      1. 授權
      2. 身分
      3. 使用者管理
      4. 應用程式部署
      5. Admin Console 總覽
      6. 管理員角色
    2. 部署指南
      1. 指定使用者部署指南
      2. SDL 部署指南
      3. 部署 Adobe Acrobat 
    3. 部署適用於教育的 Creative Cloud
      1. 部署首頁
      2. K-12 入門精靈
      3. 簡易設定
      4. 同步使用者
      5. 名冊同步 K-12 (美國)
      6. 關鍵授權概念
      7. 部署選項
      8. 快速提示
      9. 在 Google Admin Console 中核准 Adobe 應用程式
      10. 在 Google Classroom 中啟用 Adobe Express
      11. 與畫布 LMS 整合
      12. 與 Blackboard Learn 整合
      13. 為學區入口網站和 LMS 設定 SSO
      14. 透過 Roster Sync 新增使用者
      15. Kivuto 常見問題
      16. 主要和次要機構資格指南
  3. 設定您的組織
    1. 身分類型 | 總覽
    2. 設定身分 | 總覽
    3. 使用 Enterprise ID 設定組織
    4. 設定 Azure AD 聯盟和同步
      1. 透過 Microsoft Azure OIDC 設定 SSO
      2. 將 Azure Sync 新增到您的目錄
      3. 教育版角色同步
      4. Azure Connector 常見問題
    5. 設定 Google Federation 與同步
      1. 使用 Google 聯盟設定 SSO
      2. 將 Google Sync 新增到您的目錄
      3. Google 聯盟常見問題
    6. 使用 Microsoft ADFS 設定組織
    7. 為學區入口網站和 LMS 設定組織
    8. 使用其他身分提供者設定組織
      1. 建立目錄
      2. 確認網域的所有權
      3. 將網域新增至目錄
    9. SSO 常見問題和疑難排解
      1. SSO 常見問題
      2. SSO 疑難排解
      3. 教育常見問題
  4. 管理您的組織設定
    1. 管理現有網域和目錄
    2. 啟用自動建立帳戶
    3. 透過目錄信任設定組織
    4. 移轉到新的驗證提供者 
    5. 資產設定
    6. 驗證設定
    7. 隱私權與安全聯絡人
    8. 主控台設定
    9. 管理加密  
  5. 管理使用者
    1. 總覽
    2. 管理角色
    3. 使用者管理策略
      1. 個別管理使用者   
      2. 管理多位使用者 (大量 CSV)
      3. 使用者同步工具 (UST)
      4. Microsoft Azure Sync
      5. Google Federation Sync
    4. 指定授權給一位新的團隊使用者
    5. 新增具有相符電子郵件網域的使用者
    6. 變更使用者身分類型
    7. 管理使用者群組
    8. 管理目錄使用者
    9. 管理開發人員
    10. 將現有的使用者移轉到 Adobe Admin Console
    11. 將使用者管理移轉到 Adobe Admin Console
  6. 管理產品和權利
    1. 管理產品和產品設定檔
      1. 管理產品
      2. 購買產品和授權
      3. 管理企業使用者的產品設定檔
      4. 管理自動指派規則
      5. 授權使用者訓練 Firefly 自訂模型
      6. 審查產品請求
      7. 管理自助服務政策
      8. 管理應用程式整合
      9. 在 Admin Console 中管理產品權限  
      10. 針對產品設定檔啟用/停用服務
      11. 單一應用程式 | 適用於企業的 Creative Cloud
      12. 選用服務
    2. 管理共用裝置授權
      1. 新增功能
      2. 部署指南
      3. 建立套件
      4. 復原授權
      5. 管理設定檔
      6. 授權工具組
      7. 共用裝置授權常見問題
  7. 開始使用 Global Admin Console
    1. 採用全域管理
    2. 選取您的組織
    3. 管理組織層級結構
    4. 管理產品設定檔
    5. 管理管理員
    6. 管理使用者群組
    7. 更新組織原則
    8. 管理原則範本
    9. 將產品分配給下層組織
    10. 執行待處理工作
    11. 探索深入分析
    12. 匯出或匯入組織結構
  8. 管理儲存空間和資產
    1. 儲存
      1. 管理企業儲存空間
      2. Adobe Creative Cloud:儲存空間更新
      3. 管理 Adobe 儲存空間
    2. 資產移轉
      1. 自動化資產移轉
      2. 自動化資產移轉常見問題  
      3. 管理傳輸的資產
    3. 向使用者收回資產
    4. 學生資產移轉 | 僅限 EDU
      1. 自動學生資產移轉
      2. 移轉您的資產
  9. 管理服務
    1. Adobe Stock
      1. Adobe Stock 團隊專用點數包
      2. 適用於企業的 Adobe Stock
      3. 使用適用於企業的 Adobe Stock
      4. Adobe Stock 授權核准
    2. 自訂字型
    3. Adobe Asset Link
      1. 總覽
      2. 建立使用者群組
      3. 設定 Adobe Experience Manager Assets
      4. 設定和安裝 Adobe Asset Link
      5. 管理資產
      6. 適用於 XD 的 Adobe Asset Link
    4. Adobe Acrobat Sign
      1. 建立適用於企業或團隊的 Adobe Acrobat Sign
      2. Adobe Acrobat Sign - 團隊功能管理員
      3. 在 Admin Console 上管理 Adobe Acrobat Sign
    5. 適用於企業的 Creative Cloud – 免費會籍
      1. 總覽
  10. 部署應用程式和更新
    1. 總覽
      1. 部署及提供應用程式和更新
      2. 規劃部署
      3. 準備部署
    2. 建立套件
      1. 經由 Admin Console 提供的套件應用程式
      2. 建立指定使用者授權套件
      3. Adobe 套件範本
      4. 管理套件
      5. 管理裝置授權
      6. 序號授權
    3. 自訂套件
      1. 自訂 Creative Cloud 桌面應用程式
      2. 在您的套件中包含延伸功能
    4. 部署套件 
      1. 部署套件
      2. 使用 Microsoft Intune 部署 Adobe 套件
      3. 使用 SCCM 部署 Adobe 套件
      4. 使用 ARD 部署 Adobe 套件
      5. 安裝 Exceptions 檔案夾中的產品
      6. 解除安裝 Creative Cloud 產品
      7. 使用 Adobe Provisioning Toolkit 企業版
      8. Adobe Creative Cloud 授權識別碼
    5. 管理更新
      1. Adobe 企業和團隊客戶的變更管理
      2. 部署更新
    6. Adobe Update Server Setup Tool (AUSST)
      1. AUSST 總覽
      2. 設定內部更新伺服器
      3. 維護內部更新伺服器
      4. AUSST 的常見使用案例   
      5. 內部更新伺服器的疑難排解
    7. Adobe Remote Update Manager (RUM)
      1. 使用 Adobe Remote Update Manager
      2. 解決 RUM 錯誤
    8. 疑難排解
      1. 疑難排解 Creative Cloud 應用程式安裝和解除安裝錯誤
      2. 查詢用戶端電腦,檢查是否已部署套件
      3. Creative Cloud 套件「安裝失敗」錯誤訊息
  11. 管理您的團隊帳戶
    1. 總覽
    2. 更新付款詳細資料
    3. 管理發票
    4. 變更合約所有者
    5. 變更您的計劃
    6. 變更經銷商
    7. 取消您的計劃
    8. 購買請求規範
    9. 在 Adobe Express 中管理您的團隊
  12. 續約
    1. 團隊會籍:續約
    2. VIP 中的企業: 續約及規範
  13. 管理合約
    1. ETLA 合約的自動到期階段
    2. 在現有 Adobe Admin Console 中切換合約類型
    3. 中國的 Value Incentive Plan (VIP)
    4. VIP Select 說明
  14. 報告和記錄
    1. 稽核記錄
    2. 作業報告
    3. 內容記錄
  15. 取得協助
    1. 聯絡 Adobe 客戶服務
    2. 團隊帳戶的支援選項
    3. 企業帳戶的支援選項
    4. Experience Cloud 的支援選項

解決常見身份驗證錯誤、驗證設定,並疑難排解 Adob​​e 產品中與 Federated ID (SSO) 相關的登入問題。取得修復 SAML 錯誤、憑證問題和其他驗證困難的提示。

註解:

如果您的組織已透過 Google Federation 或 Microsoft Azure Sync 設定 SSO,請參閱以下文章:

概觀

Adobe Admin Console 內成功設定 SSO 之後,請確定您已選取「下載 Adobe 中繼資料檔案」,並將 SAML XML 中繼資料檔案儲存到您的電腦上。 您的身分提供者需要這個檔案才能啟用單一登入。將 XML 設定詳細資料正確匯入到身分提供者 (IdP)。如此才能整合 SAML 與您的 IdP,而且此動作可確認資料設定正確。

如果您對於如何使用 SAML XML 中繼資料檔案來設定 IdP 有疑問,請直接與您的 IdP 聯繫以獲得指示,這會因 IdP 而異。

下載 Adobe 中繼資料檔案

基本疑難排解

單一登入問題通常是由容易忽略的基本錯誤所造成。特別要檢查以下項目:

  • 用戶已指派給具有權利的產品描述檔。
  • 發送到 SAML 的用戶名稱符合企業控制面板中的用戶名稱。
  • 請檢查 Admin Console 和您的身分提供者中的所有項目,看看是否有拼字或語法錯誤。
  • Creative Cloud 桌面應用程式已更新至最新版本。
  • 用戶已登入正確的地方 (Creative Cloud 桌面應用程式、Creative Cloud 應用程式或 Adobe.com)

其他常見錯誤的解決方案

錯誤:標示「再試一次」按鈕的「錯誤發生」

此錯誤通常發生在用戶驗證成功且 Okta 已成功將驗證回應轉寄給 Adobe 之後。

Adobe Admin Console 中,驗證以下項目:

在「身分」索引標籤上︰

  • 確定關聯的網域已啟用。

在「產品」索引標籤上︰

  • 確定用戶與正確的產品暱稱相關聯,並且位在您宣告要設定為 Federated ID 的網域中。
  • 確定產品暱稱有指派正確的權利。

在「用戶」索引標籤上︰

  • 確定用戶的用戶名稱採用完整電子郵件地址的格式。

錯誤:登入時「存取被拒絕」

此錯誤的可能原因:

  • 在 SAML 聲明中傳送的用戶名稱或電子郵件地址與在 Admin Console 中輸入的資訊不符。
  • 用戶未與正確的產品建立關聯,或是產品未與正確的權利建立關聯。
  • 採用的 SAML 用戶名稱不是電子郵件地址。所有用戶都必須位在您在設定程序中所宣告的網域中。
  • 您的 SSO 用戶端在登入過程中使用了 JavaScript,而且您正在嘗試登入不支援 JavaScript 的用戶端。

解決方法:

  • 檢查 Adob​​e Admin Console 中的使用者名稱和電子郵件,並比對該值與 SAML 記錄中的 NameID 和電子郵件屬性。
  • 驗證用戶的儀表板設定:用戶資訊和產品描述檔。
  • 執行 SAML 追蹤並驗證傳送的資訊是否與儀表板相符,然後更正所有不一致之處。

錯誤:「另一個用戶目前已登入」

「另一個用戶目前已登入」錯誤發生在 SAML 聲明中傳送的屬性不符合之前用來啟動登入程序的電子郵件地址時。

執行 SAML trace確定要登入的用戶的電子郵件地址與以下內容相符:

  • 列在 Admin Console 中的用戶電子郵件地址
  • 在 SAML 聲明的 NameID 欄位中傳回的用戶名稱

錯誤:「SAML 回應中的發行者不符合為身分提供者設定的發行者」

SAML 聲明中的 IDP 發行者不同於輸入 SAML 中的設定。尋找拼字錯誤 (例如 http 和 https)。在使用客戶 SAML 系統檢查 IDP 發行者字串時,您要尋找的是與他們提供的字串完全相符的字串。有時出現此問題是因為結尾遺漏斜線。

如果您需要此錯誤的協助,請提供您在 Adobe 儀表板中輸入的 SAML 追蹤和值。

錯誤:「SAML 回應中的數位簽名並未使用身分提供者的憑證進行驗證」

此問題發生在您目錄的憑證已過期時。若要更新憑證,您必須從身分提供者下載憑證或中繼資料,然後在 Adobe Admin Console 中上傳。

例如,如果您的 IdP 是 Microsoft AD FS,請依照以下步驟進行:

  1. 在您的伺服器上開啟 AD FS 管理應用程式,並在「AD FS > 服務 > 端點」資料夾中選取「同盟中繼資料」。

  2. 使用瀏覽器瀏覽至針對同盟中繼資料所提供的 URL,並下載檔案。例如,https://<您的 AD FS 主機名稱>/FederationMetadata/2007-06/FederationMetadata.xml。

    註解:

    如果有提示任何警告,請接受。

  3. 登入 Adobe Admin Console設定索引標籤,並瀏覽至「身分設定 > 目錄」。選取要更新的目錄,然後按一下「SAML 提供者」卡片上的「設定」。

    然後上傳 IdP 中繼資料檔案,並按一下「儲存」。

錯誤:「目前時間早於聲明條件中所指定的時間範圍」

Windows 型 IdP 伺服器:

1. 確定系統時鐘與準確的時間伺服器同步。

使用以下命令根據您的時間伺服器來檢查精準系統時鐘;「階段位移」值應為一秒鐘的一小部分:

w32tm /query /status /verbose

您可以使用以下命令立即重新同步系統時鐘與時間伺服器:

w32tm /resync

如果系統時鐘設定正確,但仍然出現上述錯誤,您可能必須調整時間誤差設定,以增加伺服器與用戶端的時鐘之間差異的容許度。

2. 增加伺服器之間允許的系統時鐘差異。

使用系統管理權限從 Powershell 視窗中,將允許的誤差值設定為 2 分鐘。查看您是否可以登入,然後根據結果增加或減少該值。

使用以下命令判斷相關信賴憑證者信任的目前時間誤差設定:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

上一個命令輸出的「Identifier」欄位中針對該特定設定所顯示的 URL 會識別信賴憑證者信任。針對「識別碼」索引標籤上「信賴憑證者信任」欄位中的相關信賴憑證者信任,此 URL 也會顯示在屬性視窗中的 ADFS 管理公用程式內,如底下螢幕擷圖所示。

使用以下命令將時間誤差設定為 2 分鐘,並相應地替換識別碼位址:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

UNIX 型 IdP 伺服器

確定系統時鐘已設定正確,這可以使用 ntpd 服務或是手動從 root shell 使用 ntpdate 命令或使用 sudo,如下所示 (請注意,如果時間偏移大於 0.5 秒,則變更不會立即發生,但會慢慢更正系統時鐘)。確定時區也設定正確。

# ntpdate -u pool.ntp.org

註解:

這適用於身分提供者,例如 Shibboleth。

錯誤:401 認證未經授權

此錯誤發生在應用程式不支援 Federated ID 登入,而必須使用 Adobe ID 登入時。FrameMaker、RoboHelp 和 Adobe Captivate 是具有此要求的應用程式範例。

錯誤:「傳入 SAML 登入失敗和訊息:SAML 回應未包含任何聲明」

檢查登入工作流程。如果您可以在其他電腦或網路上存取登入頁面,但無法在內部存取,就表示問題可能發生在封鎖代理字串。此外,請執行 SAML 追蹤,並確認 SAML 主旨中有使用名字、姓氏和使用者名稱正確格式化的電子郵件地址。

錯誤:「400 錯誤的要求」或「SAML 要求的狀態不成功」或「SAML 認證驗證失敗」

確認已傳送正確的 SAML 聲明:

  • 主旨中沒有 NameID 元素。確認 Subject 元素包含 NameId 元素。這必須等於 Email 屬性,該屬性應該是您要驗證用戶的電子郵件地址。
  • 拼字錯誤,特別是 https 和 http 之類的錯誤容易被忽略。
  • 確認是否提供了正確的憑證。IDP 必須設定為使用未壓縮的 SAML 要求/回應。

類似 Firefox 適用的 SAML Tracer 等公用程式可協助將聲明解壓縮,並將其顯示以供檢查。如果您需要 Adobe 客戶服務提供協助,您將必須提供此檔案。如需詳細資訊,請參閱「如何執行 SAML 追蹤」。

以下實用範例可能有助於正確格式化 SAML 聲明:

下載

搭配 Microsoft ADFS:

  1. 每個 Active Directory 帳戶都必須擁有列在 Active Directory 中的電子郵件地址,才能成功登入 (事件記錄:SAML 回應在聲明中沒有 NameId)。請先檢查此項目。
  2. 存取儀表板
  3. 按一下「身分」索引標籤和網域。
  4. 按一下「編輯設定」。
  5. 找出 IDP 繫結。切換到 HTTP-POST 然後儲存。 
  6. 重新測試登入體驗。
  7. 如果有效,但您希望使用先前的設定,只需切換回 HTTP-REDIRECT,然後將中繼資料重新上傳到 ADFS。

搭配其他 IdP:

  1. 遇到錯誤 400 表示您的 IdP 已拒絕成功登入。
  2. 請檢查您的 IdP 記錄,以找出錯誤來源。
  3. 更正問題,然後重試。

錯誤:「403 憑證故障」

錯誤:"403 app_not_configured_for_user”

錯誤:「您現在無法存取此內容」或「您無法從這裡到達那裡」

當組織在 IdP 中啟用條件 Access 原則時,通常會發生此錯誤。

如果您使用託管軟體套件來部署產品,請選取以瀏覽器為主的身份驗證選項,然後從 Adob​​e Admin Console 建立託管軟體套件。然後,將其部署到用戶的裝置上。

如果沒有,用戶可以開啟 Creative Cloud 桌面應用程式,然後從「說明」選單中選取「使用瀏覽器登入」。

錯誤:「應用程式未指派」

在這種情況下,管理員必須將使用者新增至在其 IdP 建立的 Adob​​e SAML 應用程式。了解如何在 Google Admin ConsoleMicrosoft Azure 入口網站上建立 Adob​​e SAML 應用程式。

錯誤:「如果您沒有此服務的存取權限。請聯絡您的 IT 管理員,以便取得存取權或使用 Adob​​e ID 登入」

由於在 SAML 聲明中傳送的用戶名稱或電子郵件地址與在 Admin Console 中輸入的資訊不符,請檢查 SAML 記錄

 Adobe

更快、更輕鬆地獲得協助

新的使用者?

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX 2024

Adobe MAX
創意大會

10 月 14 至 16 日邁阿密海灘和線上

Adobe MAX

創意大會

10 月 14 至 16 日邁阿密海灘和線上