Áttekintés

Az Adobe termékekbe, szolgáltatásokba vagy mobilalkalmazásokba Federated azonosítóval (SSO) történő bejelentkezéskor a következő hibaüzenetek egyikét kapja.

Miután sikeresen konfigurálta az SSO-t az Adobe felügyeleti konzolban, győződjön meg róla, hogy rákattintott a Metaadatok letöltése elemre, és elmentette a SAML XML metaadat fájlt a számítógépre. Az identitásszolgáltatónak szüksége van a fájlra az egyszeri bejelentkezés engedélyezéséhez. Az XML konfigurálási adatokat megfelelően kell importálnia az identitásszolgáltatóba (IdP). Ez kötelező az IdP-vel történő SAML-integrációhoz, és garantálja az adatok megfelelő konfigurálását.

Íme néhány gyakori konfigurációs probléma:

  • A tanúsítvány nem PEM formátumú.
  • A tanúsítvány bővítménye nem .cer., .pem vagy .cert, és nem működik.
  • A tanúsítvány titkosított.
  • A tanúsítvány formátuma egysoros. Többsoros formátumra van szükség.
  • A Tanúsítvány visszahívása Ellenőrzés be van kapcsolva (jelenleg nem támogatott).
  • Az IdP-kibocsátó a SAML-ben nem ugyanaz, mint a felügyeleti konzolban megadott (például helyesírási hiba, hiányzó karakter, https vagy http elírása miatt).

Ha kérdése van azzal kapcsolatban, hogyan használhatja a SAML XML metaadat fájlt IdP konfigurálásához, útmutatásért forduljon közvetlenül az IdP-hez, mert az utasítások IdP-ként eltérőek.

Néhány példa konkrét IdP-re (a lista nem teljes, bármely SAML 2-kompatibilis IdP használható):

Okta: Manuálisan másolja ki az XML fájl megfelelő információit, és helyezze a megfelelő UI mezőkbe az adatok megfelelő konfigurálásához.

Ping Federate: Töltse fel az XML fájlt, vagy helyezze el az adatokat a megfelelő UI mezőkben.

Microsoft ADFS: A tanúsítványnak PEM formátumúnak kell lennie, de ADFS esetén az alapértelmezett formátum DER. A tanúsítványt az openssl paranccsal átalakíthatja, amely OS X, Windows és Linux rendszereken a következő:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

A fenti lépés végrehajtása után nevezze át a tanúsítványt .cer formátumra.

Győződjön meg arról, hogy a helyes tanúsítványt használja, ha több mint egy van. Azzal kell megegyeznie, amely aláírja a kérelmet. (Ha például a „jogkivonat-aláíró” tanúsítvány írja alá a kérelmet, azt a tanúsítványt kell használni.) A Tanúsítvány visszahívása Ellenőrzést ki kell kapcsolni.

Ha legjobb tudása szerint konfigurálta az IdP-t, próbálkozzon az alábbiak közül egy vagy több megoldással a hibaüzenettől függően.

Metaadat hivatkozás letöltése

Alapvető hibaelhárítás

Az egyszeri bejelentkezés problémáit gyakran nagyon alapvető hibák okozzák, amelyeket könnyű nem észrevenni. Először is ellenőrizze a következőket:

  • A felhasználó jogosultsággal rendelkező termékkonfigurációhoz van hozzárendelve.
  • A felhasználó keresztneve, vezetékneve és e-mail-címe SAML formátumban pontosan ugyanúgy kerül elküldésre, ahogyan azok az Enterprise-irányítópulton szerepelnek, és SAML formátumban helyes címkézéssel vannak jelen.
  • Ellenőrizze, hogy nincsenek-e helyesírási vagy szintaxis hibák a felügyeleti konzol bejegyzéseiben és az identitásszolgáltatóban.
  • A Creative Cloud asztali alkalmazás a legújabb verzión fut.
  • A felhasználó a megfelelő helyre jelentkezik be (CC asztali alkalmazás, CC alkalmazás vagy adobe.com)

„Hiba történt” hiba „Próbálja meg újra” gombbal

Hiba történt – PRÓBÁLJA MEG ÚJRA

Ez a hiba általában akkor fordul elő, miután a felhasználó-hitelesítés sikerrel megtörtént, és az Okta sikeresen továbbította a hitelesítési választ az Adobe számára.

Az Adobe felügyeleti konzolban ellenőrizze a következőket:

Az Identity (Identitás) fülön:

  • Győződjön meg róla, hogy a társított tartomány aktiválva van.

A Products (Termékek) fülön:

  • Győződjön meg róla, hogy a felhasználó a termék helyes becenevéhez van társítva, és a tartományban a Federated azonosítóként való konfigurálást választotta.
  • Győződjön meg róla, hogy a termék becenevéhez a helyes jogosultság(ok) van(nak) társítva.

A Users (Felhasználók) fülön:

  • Győződjön meg róla, hogy a felhasználónév teljes e-mail-cím formájában szerepel.

„Hozzáférés megtagadva” hiba bejelentkezéskor

„Hozzáférés megtagadva” hiba

A hiba lehetséges okai:

  • A SAML-előfeltételben küldött keresztnév, vezetéknév vagy e-mail-cím nem egyezik a felügyeleti konzolban megadott adatokkal.
  • A felhasználó nem a megfelelő termékhez van társítva, vagy a termék nem a helyes jogosultsághoz van társítva.
  • A SAML-felhasználónevet nem e-mail-címként érzékeli. Minden felhasználónak a beállítási folyamatban igényelt tartományban kell lennie.
  • Az SSO kliens Javascriptet használ a bejelentkezési folyamat részeként, Ön pedig olyan kliensre próbál bejelentkezni, amely nem támogatja a Javascriptet (pl.: Creative Cloud Packager).

Megoldási javaslat:

  • Ellenőrizze a felhasználó irányítópult-konfigurációját: felhasználói adatok és termékkonfiguráció.
  • Futtasson SAML-nyomkövetést, és ellenőrizze, hogy a küldött adatok egyeznek-e az irányítópultéval, majd javítsa az eltéréseket.

„Egy másik felhasználó be van jelentkezve” hiba

Az „Egy másik felhasználó be van jelentkezve” hiba akkor fordul elő, ha a SAML-előfeltételben küldött attribútumok nem egyeznek a bejelentkezési folyamat elején megadott e-mail-címmel.

Ellenőrizze a SAML-előfeltétel attribútumait, és győződjön meg róla, hogy pontosan egyeznek a felhasználó által használni kívánt azonosítóval és a felügyeleti konzollal.

„Nem sikerült a hívás rendszerbiztonsági tagként” vagy „A felhasználó létrehozása sikertelen” hiba

A „Nem sikerült a hívás rendszerbiztonsági tagként” (véletlenszerű kód kíséretében) vagy „A felhasználó létrehozása sikertelen” hiba a SAML-attribútumok hibájára utal. Győződjön meg róla, hogy az attribútumnevek kis- és nagybetűi helyesek: KeresztNév, VezetékNév, Email. Ha például az attribútum végén „email” szerepel „Email” helyett, az hibát okozhat.

Akkor is előfordulhatnak ezek a hibák, ha a SAML-előfeltétel nem tartalmazza a felhasználó e-mail-címét a Tárgy > Névazonosító elemnél (SAML-nyomkövető használatakor „emailCím” formátum használandó, amelyben az e-mail-cím az érték).  

Ha az Adobe-támogatás segítéségére van szüksége, adjon meg egy SAML-nyomkövetést.

 

„A SAML-válasz kiállítója nem egyezik az identitásszolgáltatóhoz konfigurált kiállítóval” hiba

A SAML-előfeltétel IDP kiállítója eltér a Bejövő SAML-ben konfigurálttól. Ellenőrizze, hogy nincsenek-e elírások (pl. http vagy https). Amikor az IDP-kiállító karakterláncot ellenőrzi az ügyfél SAML-rendszerével, PONTOS egyezést keres a megadott karakterlánccal. A hibát néha az okozza, hogy hiányzik egy ferde vonal a karakterlánc végéről.

Ha segítséget kérne a hibával kapcsolatban, adjon meg SAML-nyomkövetést és az Adobe irányítópulton megadott értékeket.

„A SAML-válasz digitális aláírása nem felel meg az identitásszolgáltató tanúsítványának” hiba

A tanúsítvány fájl valószínűleg hibás, és újból fel kell tölteni. Ez a hiba általában akkor fordul elő, ha módosítás történt, és a rendszergazda helytelen tanúsítvány fájlra hivatkozik.  Ellenőrizze a formátum típusát is (ADFS esetén PEM formátum szükséges).

„A jelenlegi idő a helyességi feltételeknél megadott időtartamnál korábbi”

Windows:

Javítsa a rendszeridőt, vagy állítsa be az időeltérés értékét.

Rendszeridő beállítása:

Ellenőrizze a rendszeridőt a következő paranccsal:

w32tm /query /status

Windows Serveren a következő paranccsal javíthatja a rendszeridőt:

w32tm /resync

Ha a rendszeridő beállítása helyes, előfordulhat, hogy tűréshatárt kell létrehozni az IdP és a hitelesítendő rendszer közötti különbséghez.

Az óra eltérése

Kezdésként az engedélyezett eltérési értéket 2 percre állítsa. Ellenőrizze, hogy lehet-e csatlakozni, majd az eredménytől függően növelje vagy csökkentse az értéket. Ezzel kapcsolatban további részleteket a Microsoft tudástárban találhat. 

Összefoglalva tehát: a Powershellből a következő parancsokat futtathatja:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Az eredeti értékek megtekintéséhez
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Az eltérés 2 percre állításához,

amelyben az „urn:party:sso” a függő entitás egyik azonosítója

Megjegyzés: A Get-ADFSRelyingPartyTrust cmdlet paraméter nélkül is használható az összes függő entitás megbízhatósági objektumának lekéréséhez.

UNIX-alapú rendszerek:

Győződjön meg róla, hogy a rendszeridő beállítása helyes, például a következő paranccsal:

ntpdate -u pool.ntp.org

A SubjectConfirmation ellenőrzésben megadott címzett nem egyezik a szolgáltató entitásazonosítójával.

Ellenőrizze az attribútumokat, mert pontosan egyezniük kell a következő kis- és nagybetűs formátummal: KeresztNév, VezetékNév, Email. Ez a hibaüzenet jelentheti azt, hogy valamelyik attribútum kis- és nagybetűs írásmódja helytelen, például „email” „Email” helyett.  Ellenőrizze a címzett értékét is – az ACS karakterláncra kell hivatkoznia.

ACS karakterlánc

401-es hiba: Nem hitelesített azonosítók

Ez a hiba akkor fordul elő, ha az alkalmazás nem támogatja a Federated bejelentkezést, és Adobe ID azonosítóval kell bejelentkezni. Néhány alkalmazás, ahol ez követelmény: Framemaker, RoboHelp és Captivate.

„A bejövő SAML bejelentkezés sikertelen, a következő üzenettel: A SAML-válasz nem tartalmazott előfeltételt”

Ellenőrizze a bejelentkezési munkafolyamatot.  Ha másik gépről vagy hálózatról el tudja érni a bejelentkezési képernyőt, de belsőleg nem, a problémát blokkoló ügynök okozhatja.  Futtasson SAML-nyomkövetést, és győződjön meg, hogy a Keresztnév, Vezetéknév és Felhasználónév helyes formátumú e-mail-címként szerepel a SAML tárgyában.

400-as hiba: hibás kérelem / „A SAML-kérelem állapota nem volt sikeres” hiba / A SAML-tanúsítvány hitelesítése sikertelen volt

400-as hiba: hibás kérelem

Ellenőrizze, hogy a megfelelő SAML-előfeltételt küldi-e:

  • Ellenőrizze, hogy az identitásszolgáltató a következő attribútumokat ( kis- és nagybetűket megkülönböztető) küldi-e az SAML-előfeltételben: KeresztNév, VezetékNév, Email. Ha ezek az attribútumok nincsenek úgy konfigurálva az IdP-ben, hogy a SAML 2.0 Connector-konfiguráció részeként küldjék őket, a hitelesítés sikertelen lesz.
  • Nincs Névazonosító elem a tárgyban. Ellenőrizze, hogy a Tárgy elem tartalmaz Névazonosító elemet. Egyeznie kell az E-mail attribútummal, amelynek a hitelesíteni kívánt felhasználó e-mail-címének kell lennie.
  • Elírások, különösen a nehezen észrevehetők, mint pl.: https vagy http.
  • Ellenőrizze, hogy a helyes tanúsítványt adta meg. Az IDP-ket úgy kell konfigurálni, hogy tömörítetlen SAML-kérelmet/-választ használjanak. Az Okta Bejövő SAML-protokoll csak a Tömörítetlen beállításokkal működik (a Tömörített beállításokkal nem).

Egy segédprogram, mint például a Firefox böngészőben használható SAML-nyomkövető segíthet kicsomagolni, és vizsgálat céljából megjeleníteni az előfeltételt. Ha az Adobe-támogatás segítségét kéri, ezt a fájlt fogják Öntől kérni. 

A következő munkapélda segíthet az SAML-előfeltétel helyes formázásában:

Letöltés

Microsoft ADFS szolgáltatással:

  1. A sikeres bejelentkezéshez minden Active Directory-fióknak kell e-mail-címmel rendelkeznie az Active Directoryban (eseménynapló: Az SAML-válasz nem rendelkezik Névazonosítóval az előfeltételben). Először ezt ellenőrizze.
  2. Lépjen az irányítópulthoz
  3. Kattintson az Identity fülre és a tartományra.
  4. Kattintson az Edit Configuration (Konfiguráció szerkesztése) elemre.
  5. Keresse meg az IDP Binding (IDP-közés) elemet. Váltson a HTTP-POST lehetőségre, majd mentse el. 
  6. Próbálja ki újra a bejelentkezést.
  7. Ha működik, de inkább a korábbi beállítást szeretné, váltson vissza a HTTP-REDIRECT lehetőségre, és töltse fel újból a metaadatokat az ADFS-be.

Egyéb IdP-kel:

  1. A 400-as hiba azt jelenti, hogy a sikeres bejelentkezést az IdP elutasította.
  2. A hiba forrását keresse az IdP naplóiban.
  3. Javítsa a hibát, majd próbálja újra.

Microsoft ADFS konfigurálása

Részletes útmutató a Microsoft ADFS konfigurálásához.

Ha egy Mac-ügyfélnek üres ablak jelenik meg a Creative Cloudban, győződjön meg róla, hogy a „Creative Cloud”-felhasználói ügynök megbízható.

A Microsoft Azure konfigurálása

Részletes útmutató a Microsoft Azure konfigurálásához.

A OneLogin konfigurálása

Részletes útmutató a OneLogin konfigurálásához.

Az Okta konfigurálása

Részletes útmutató az Okta konfigurálásához.

Ez a munka a Creative Commons Nevezd meg!-Ne add el!-Így add tovább! 3.0 Unported licenc alatt lett közzétéve.  A Twitter™ és Facebook közzétételeket a Creative Commons jogi feltételei nem szabályozzák.

Jogi közlemények   |   Online adatvédelmi nyilatkozat