Apri l'applicazione di gestione di ADFS sul server e all'interno della cartella AD FS> Servizio> Endpoint, seleziona i metadati della federazione.
- Guida all'amministrazione di Adobe Enterprise & Teams
- Pianificare la distribuzione
- Concetti di base
- Guide alla distribuzione
- Distribuzione di Creative Cloud for education
- Casa di distribuzione
- Procedura guidata di onboarding K-12
- Configurazione semplice
- Sincronizzazione degli utenti
- Sincronizzazione del roster K-12 (Stati Uniti)
- Concetti chiave di concessione di licenza
- Opzioni di distribuzione
- Suggerimenti rapidi
- Approva le app Adobe nella Console di amministrazione Google
- Abilitare Adobe Express in Google Classroom
- Integrazione con Canvas LMS
- Integrazione con Blackboard Learn
- Configurazione dell'accesso unico (SSO) per portali del distretto e Sistemi di gestione dell'apprendimento (LMS)
- Aggiungere utenti tramite la sincronizzazione dell'elenco
- Domande frequenti su Kivuto
- Linee guida sui requisiti di idoneità per gli istituti di istruzione primaria e secondaria
- Configurazione dell'organizzazione
- Tipi di identità | Panoramica
- Configurazione dell'identità | Panoramica
- Configurazione dell'organizzazione con Enterprise ID
- Configurazione e sincronizzazione della federazione Azure AD
- Configurazione e sincronizzazione della federazione Google
- Configurazione dell'organizzazione con Microsoft ADFS
- Configurazione dell'organizzazione per portali del distretto e LMS
- Configurazione dell'organizzazione con altri provider di identità
- Domande frequenti e risoluzione dei problemi SSO
- Gestione della configurazione dell'organizzazione
- Gestione di domini e directory esistenti
- Attivare la creazione automatica dell'account
- Configurazione dell'organizzazione tramite l'affidabilità delle directory
- Migrazione a un nuovo provider di autenticazione
- Impostazioni risorse
- Impostazioni di autenticazione
- Contatti per la sicurezza e la privacy
- Impostazioni console
- Gestire la crittografia
- Gestione di domini e directory esistenti
- Gestione degli utenti
- Panoramica
- Ruoli amministrativi
- Strategie di gestione degli utenti
- Assegnazione delle licenze a un utente Teams
- Gestione degli utenti in-app per team
- Aggiungere utenti con domini e-mail corrispondenti
- Cambio del tipo di identità dell'utente
- Gestione dei gruppi di utenti
- Gestione degli utenti della directory
- Gestione degli sviluppatori
- Migrare gli utenti esistenti in Adobe Admin Console
- Migrare la gestione degli utenti in Adobe Admin Console
- Panoramica
- Gestione dei prodotti e delle autorizzazioni
- Gestione di prodotti e profili di prodotto
- Gestione dei prodotti
- Acquisto di prodotti e licenze
- Gestione di profili di prodotto per utenti Enterprise
- Gestione delle regole di assegnazione automatica
- Autorizzare gli utenti ad addestrare modelli personalizzati Firefly
- Verifica delle richieste di prodotti
- Gestione delle policy autonome
- Gestione delle integrazioni delle app
- Gestione delle autorizzazioni del prodotto in Admin Console
- Attivare/disattivare i servizi per un profilo di prodotto
- App singola | Creative Cloud for enterprise
- Servizi facoltativi
- Gestione di licenze per dispositivo condiviso
- Gestione di prodotti e profili di prodotto
- Introduzione a Global Admin Console
- Adottare l'amministrazione globale
- Selezionare l'organizzazione
- Gestire la gerarchia dell'organizzazione
- Gestire i profili di prodotto
- Gestire gli amministratori
- Gestire i gruppi di utenti
- Aggiornare le policy dell'organizzazione
- Gestire i modelli delle policy
- Allocare i prodotti alle organizzazioni secondarie
- Eseguire i processi in sospeso
- Esplorare gli elementi di conoscenza
- Esportare o importare la struttura organizzativa
- Gestione archiviazione e risorse
- Archiviazione
- Migrazione delle risorse
- Recupero delle risorse da un utente
- Migrazione delle risorse degli studenti | Solo Istruzione
- Gestire i servizi
- Adobe Stock
- Font personalizzati
- Adobe Asset Link
- Adobe Acrobat Sign
- Creative Cloud for enterprise - iscrizione gratuita
- Distribuzione di app e aggiornamenti
- Panoramica
- Creazione di pacchetti
- Personalizzazione dei pacchetti
- Distribuire i pacchetti
- Distribuire i pacchetti
- Distribuire i pacchetti Adobe usando Microsoft Intune
- Distribuire i pacchetti Adobe con SCCM
- Distribuzione di pacchetti Adobe con ARD
- Installazione dei prodotti nella cartella Exceptions
- Disinstallazione dei prodotti Creative Cloud
- Utilizzo di Adobe Provisioning Toolkit Enterprise Edition
- Distribuire i pacchetti
- Gestione degli aggiornamenti
- Adobe Update Server Setup Tool (AUSST)
- Adobe Remote Update Manager (RUM)
- Risoluzione dei problemi
- Gestire l'account Teams
- Rinnovi
- Gestori contratti
- Report e registri
- Aiuto
Risolvi gli errori comuni di autenticazione, verifica le configurazioni e risolvi i problemi di accesso relativi a Federated ID (SSO) nei prodotti Adobe. Ottieni suggerimenti per correggere errori SAML, problemi relativi ai certificati e altri problemi di autenticazione.
Fai riferimento ai seguenti articoli se la tua organizzazione ha configurato SSO tramite Google Federation o Microsoft Azure Sync:
Panoramica
Dopo aver configurato correttamente l'SSO in Adobe Admin Console, assicurati di selezionare Scarica il file di metadati di Adobe e salva il file di metadati SAML XML sul computer. Il provider di identità richiede questo file per abilitare l'accesso unico. Importa correttamente i dettagli della configurazione XML nel provider di identità (IdP). Questa operazione è richiesta per l'integrazione di SAML con l'IdP e assicurerà che i dati siano configurati correttamente.
Se hai domande su come utilizzare il file di metadati SAML XML per configurare il tuo IdP, contatta direttamente l'IdP per le istruzioni, che variano a seconda dell'IdP.
Risoluzione dei problemi di base
I problemi con l'accesso unico sono spesso causati da errori di base che è facile lasciarsi sfuggire. In particolare, verifica quanto segue:
- L'utente è assegnato a un profilo di prodotto con un'autorizzazione.
- Il nome utente inviato a SAML corrisponde al nome utente nel dashboard aziendale.
- Controlla tutte le voci in Admin Console e il provider di identità per errori di ortografia o di sintassi.
- L'app desktop Creative Cloud è stata aggiornata alla versione più recente.
- L'utente accede alla posizione corretta (applicazione desktop Creative Cloud, applicazione Creative Cloud o Adobe.com)
Soluzioni ad altri errori comuni
Errore: “Si è verificato un errore” con il pulsante “Riprova”
Questo errore si verifica in genere dopo che l'autenticazione dell'utente è riuscita e Okta ha inoltrato con successo la risposta di autenticazione ad Adobe.
In Adobe Admin Console, convalida quanto segue:
Nella scheda Identità:
- Assicurati che sia stato attivato il dominio associato.
Nella scheda Prodotti:
- Assicurati che l'utente sia associato al nickname del prodotto corretto e nel dominio che hai richiesto di configurare come Federated ID.
- Assicurati che al nickname del prodotto siano assegnate le autorizzazioni corrette.
Nella scheda Utenti:
- Assicurati che il nome utente dell'utente abbia il formato di un indirizzo e-mail completo.
Errore: “Accesso negato” durante l'accesso
Cause possibili di questo errore:
- Il nome utente o l'indirizzo e-mail inviato nell'asserzione SAML non corrisponde alle informazioni inserite in Admin Console.
- L'utente non è associato al prodotto corretto o il prodotto non è associato all'autorizzazione corretta.
- Il nome utente SAML sembra essere diverso da un indirizzo e-mail. Tutti gli utenti devono trovarsi nel dominio richiesto come parte del processo di installazione.
- Il client SSO utilizza JavaScript come parte del processo di accesso e stai tentando di accedere a un client che non supporta JavaScript.
Come risolvere:
- Controlla il nome utente e l'e-mail in Adobe Admin Console e abbina il valore agli attributi NameID ed Email nei log SAML.
- Verifica la configurazione della dashboard per l'utente: le informazioni sull'utente e il profilo del prodotto.
- Esegui una traccia SAML e verifica che le informazioni inviate corrispondano alla dashboard, quindi correggi eventuali incongruenze.
Errore: “Un altro utente è attualmente connesso”
L'errore “Un altro utente è attualmente connesso” si verifica quando gli attributi inviati nell'asserzione SAML non corrispondono all'indirizzo e-mail utilizzato per avviare il processo di accesso.
Esegui un SAML Trace e assicurati che l'indirizzo e-mail dell'utente per l'accesso corrisponda a quanto segue:
- Indirizzo e-mail dell'utente elencato in Admin Console
- Il nome utente dell'utente restituito nel campo NameID dell'asserzione SAML
Errore: “L'emittente nella risposta SAML non corrisponde all'emittente configurato per il provider di identità”
L'emittente IDP nell'asserzione SAML è diverso da ciò che è stato configurato nel SAML in entrata. Cerca errori di ortografia (come http invece di https). Quando controlli la stringa dell'emittente IDP con il sistema SAML del cliente, stai cercando una corrispondenza ESATTA con la stringa fornita. Questo problema si presenta a volte perché manca una barra alla fine.
Se hai bisogno di assistenza con questo errore, fornisci una traccia SAML e i valori che hai inserito nel dashboard di Adobe.
Errore: “La firma digitale nella risposta SAML non è stata convalidata con il certificato del provider di identità”
Questo problema si verifica quando il certificato della directory è scaduto. Per aggiornare il certificato, devi scaricare il certificato o i metadati dal provider di identità e caricarli in Adobe Admin Console.
Ad esempio, segui i passaggi seguenti se il tuo IdP è Microsoft AD FS:
-
-
Utilizza un browser per accedere all'URL fornito con i metadati della federazione e scaricare il file. Ad esempio, https://<il nome host AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.
Nota:Accetta eventuali avvisi se richiesto.
-
Nella scheda Impostazioni della Admin Console, seleziona Impostazioni identità > Directory. Seleziona la directory da aggiornare e fai clic su Configura sulla scheda Provider SAML.
Quindi, carica il file di metadati IdP e Salva.
Errore: “L'ora corrente è precedente all'intervallo di tempo specificato nelle condizioni dell'asserzione”
Server IdP basato su Windows:
1. Verificare che l'orologio di sistema sia sincronizzato con un server di riferimento ora preciso.
Controlla la precisione dell'orologio di sistema rispetto al tuo server di riferimento ora con questo comando; il valore "Phase Offset" dovrebbe essere una piccola frazione di secondo:
w32tm /query /status /verbose
È possibile provocare una risincronizzazione immediata dell'orologio di sistema con il server di riferimento ora con il seguente comando:
w32tm /resync
Se l'orologio di sistema è impostato correttamente e viene ancora visualizzato l'errore precedente, potrebbe essere necessario regolare l'impostazione dello sfasamento temporale per aumentare la tolleranza della differenza tra gli orologi del server e del client.
2. Aumentare la differenza consentita nell'orologio di sistema tra i server.
Da una finestra di Powershell con diritti amministrativi, imposta il valore dello sfasamento su 2 minuti. Verificare se è possibile accedere, quindi aumentare o diminuire il valore a seconda del risultato.
Determina l'impostazione dello sfasamento temporale corrente per l'Attendibilità del componente con il comando seguente:
Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew
L'Attendibilità del componente è identificata dall'URL mostrato nel campo "Identificativo" dell'output del comando precedente per quella particolare configurazione. Questo URL viene visualizzato anche nell'utility di gestione di ADFS nella finestra delle proprietà per l'Attendibilità del componente pertinente nella scheda "Identificatori" nel campo "Attendibilità del componente", come mostrato nella schermata seguente.
Impostare lo sfasamento temporale su 2 minuti con il seguente comando, sostituendo di conseguenza l'indirizzo dell'identificativo:
Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2
Server IdP basato su UNIX
Assicurati che l'orologio di sistema sia impostato correttamente utilizzando il servizio ntpd, o manualmente con il comando ntpdate da una shell root o con sudo come mostrato di seguito (nota che se l'ora è sfalsata di oltre 0,5 secondi, la modifica non avverrà immediatamente, ma correggerà lentamente l'orologio di sistema). Verifica anche che il fuso orario sia configurato correttamente.
# ntpdate -u pool.ntp.org
Funziona con provider di identità come Shibboleth.
Errore: 401 credenziali non autorizzate
Questo errore si verifica quando l'applicazione non supporta l'accesso federato e deve essere eseguito l'accesso come un Adobe ID. FrameMaker, RoboHelp e Adobe Captivate sono esempi di applicazioni con questo requisito.
Errore: “Accesso SAML in entrata non riuscito con messaggio: la risposta SAML non conteneva asserzioni”
Controlla il flusso di lavoro di accesso. Se è possibile accedere alla pagina di accesso su un altro computer o rete ma non internamente, il problema potrebbe essere una stringa agente di blocco. Inoltre, esegui una traccia SAML e conferma che Nome, Cognome e Nome utente nel formato corretto di indirizzo e-mail si trovino nell'oggetto SAML.
Verificare che venga inviata l’asserzione SAML corretta:
- Mancanza di un elemento NameID nell'oggetto. Verificare che l'elemento Subject contenga un elemento NameId. Deve essere uguale all'attributo E-mail, che dovrebbe essere l'indirizzo email dell'utente che si desidera autenticare.
- Errori di ortografia, soprattutto quelli che sfuggono con facilità, ad esempio https rispetto a http
- Verificare che sia stato fornito il certificato corretto. Gli IDP devono essere configurati per utilizzare richieste/risposte SAML non compresse.
Un'utility come SAML Tracer per Firefox può aiutare a decomprimere l'asserzione e visualizzarla per il controllo. Se hai bisogno di supporto dall'Assistenza clienti Adobe, ti verrà richiesto questo file. Per i dettagli, consulta Come eseguire una traccia SAML .
Il seguente esempio può essere utile per formattare correttamente l'asserzione SAML:
Scarica
Con Microsoft ADFS:
- Ogni account Active Directory deve avere un indirizzo e-mail elencato in Active Directory per accedere correttamente (registro eventi: La risposta SAML non ha NameId nell'asserzione). Controlla innanzitutto questo dato.
- Accedi al dashboard.
- Fai clic sulla scheda Identità e sul dominio.
- Fai clic su Modifica configurazione.
- Individua l'associazione IDP. Passa a HTTP-POST e salva.
- Riprova ad accedere.
- Se l'operazione riesce, ma preferisci l'impostazione precedente, torna semplicemente a HTTP-REDIRECT e carica nuovamente i metadati in ADFS.
Con altri IdP:
- L'errore 400 indica che un accesso riuscito è stato rifiutato dal tuo IdP.
- Controlla i registri dell'IdP per l'origine dell'errore.
- Correggi il problema e riprova.
Errore: “Certificato 403 malfunzionante”
Errore: “403 app_not_configered_for_user”
Aggiorna l'ID entità nella console Google. Quindi esporta il file di metadati e caricalo in Adobe Admin Console.
Errore: “Impossibile accedere alla risorsa adesso” o “Impossibile selezionare la risorsa da questo percorso”
Questo errore si verifica generalmente quando l'organizzazione ha abilitato la policy di accesso condizionale in IdP.
Se utilizzi pacchetti gestiti per distribuire i prodotti, crea un pacchetto gestito da Adobe Admin Console selezionando l'opzione di autenticazione basata su browser. Quindi, distribuiscilo sul dispositivo dell'utente.
In caso contrario, gli utenti possono aprire l'applicazione Creative Cloud Desktop e selezionare Accesso mediante il browser dal menu Guida.
Errore: “App non assegnata”
In questo caso, l'amministratore deve aggiungere gli utenti all'app Adobe SAML creata sul proprio IdP. Scopri come creare un'app Adobe SAML sulla Console di amministrazione Google o nel portale di Microsoft Azure.
Errore: “Non disponi dell’accesso al servizio. Contatta il tuo amministratore IT per ottenere l'accesso oppure accedi con un Adobe ID”
Controlla i log SAML, poiché il nome utente o l'indirizzo e-mail inviato nell'asserzione SAML non corrisponde alle informazioni inserite in Admin Console.