개요

Federated ID(SSO)로 Adobe 제품, 서비스 또는 모바일 앱에 로그인하려고 하면 다음 오류 메시지 중 하나가 표시됩니다.

Adobe Admin Console 내에서 SSO를 성공적으로 구성한 후에 메타데이터 다운로드를 클릭하고 SAML XML 메타데이터 파일을 컴퓨터에 저장했는지 확인하십시오. ID 공급자는 이 파일이 있어야 단일 사인온을 활성화할 수 있습니다. XML 구성 세부 사항을 ID 공급자(IdP)로 제대로 가져와야 합니다. 이는 SAML을 IdP와 통합하는 데 필요하며, 데이터가 제대로 구성되도록 합니다.

다음은 몇 가지 일반적인 구성 문제입니다.

  • 인증서가 PEM 이외의 형식으로 되어 있습니다.
  • 인증서에 .cer. .pem 이외의 확장명이 있어 .cert가 작동하지 않습니다.
  • 인증서가 암호화되어 있습니다.
  • 인증서가 단일 줄 형식으로 되어 있습니다. 여러 줄이 필요합니다.
  • 인증서 해지 확인이 켜져 있습니다(현재는 지원되지 않음).
  • SAML에서 IdP 발급자가 Admin Console에 지정된 발급자와 다릅니다(예: 맞춤법 오류, 글자 누락, https와 http).

SAML XML 메타데이터 파일을 사용하여 IdP를 구성하는 방법에 대해 질문이 있는 경우 IdP에 직접 연락하여 지침을 문의하십시오. 이러한 지침은 IdP마다 다릅니다.

특정 IdP에 대한 몇 가지 예(전체 목록이 아님 - SAML 2 호환 IdP 작업):

Okta: XML 파일 내에서 필요한 정보를 수동으로 가져와서 적절한 UI 필드에 입력하여 데이터를 적절하게 구성합니다.

Ping Federate: XML 파일을 업로드하거나 데이터를 적절한 UI 필드에 입력합니다.

Microsoft ADFS: 인증서가 PEM 형식이어야 하지만, ADFS의 기본값이 DER 형식입니다. OS X, Windows 또는 Linux에서 사용할 수 있는 openssl 명령을 사용하여 인증서를 다음과 같이 변환할 수 있습니다.

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

위의 단계를 수행한 후에 인증서 .cer의 이름을 변경합니다.

인증서가 두 개 이상 있는 경우 올바른 인증서를 사용하는지도 확인합니다. 요청에 서명할 인증서와 같은 인증서여야 합니다. (예를 들어 "토큰 서명" 인증서를 통해 요청에 서명하는 경우 해당 인증서가 사용할 인증서입니다.) 인증서 해지 확인을 꺼야 합니다.

알고 있는 모든 정보를 사용하여 IdP를 구성했으면 표시된 오류에 따라 다음 중 하나 이상을 시도해 보십시오.

메타데이터 다운로드 링크

기본 문제 해결

단일 사인온 문제는 간과하기 쉬운 아주 기본적인 오류로 인해 발생하는 경우가 많습니다. 특히, 다음을 확인하십시오.

  • 자격이 있는 제품 구성에 사용자를 지정했습니다.
  • 사용자의 성, 이름 및 전자 메일 주소가 엔터프라이즈 대시보드에 표시되는 대로 SAML로 전송되고, 올바른 레이블이 지정된 SAML에 있습니다.
  • Admin Console 및 ID 공급자에서 모든 항목에 대한 맞춤법이나 구문 오류를 확인합니다.
  • Creative Cloud 데스크톱 응용 프로그램이 최신 버전으로 업데이트되었습니다.
  • 사용자가 올바른 위치(CC 데스크톱 앱, CC 응용 프로그램 또는 adobe.com)에 로그인 중입니다.

"오류가 발생했습니다." 오류가 표시되고"다시 시도" 단추가 표시됨

오류가 발생했습니다. - 다시 시도

이 오류는 일반적으로 사용자 인증이 성공한 후 Okta가 Adobe에 인증 반응을 성공적으로 전달하면 발생합니다.

Adobe Admin Console에서 다음을 확인합니다.

[ID] 탭에서:

  • 연결된 도메인이 활성화되어 있는지 확인합니다.

[제품] 탭에서:

  • 사용자가 올바른 제품 별명에 연결되고, 도메인에서 Federated ID로 구성되도록 지정했는지 확인합니다.
  • 제품 별명에 올바른 자격을 지정했는지 확인합니다.

[사용자] 탭에서:

  • 사용자의 사용자 이름이 전체 전자 메일 주소 형식으로 되어 있는지 확인합니다.

"액세스가 거부되었습니다." 로그인 오류

액세스가 거부되었습니다. 오류

몇 가지 원인은 다음과 같습니다.

  • SAML 표명에서 보내는 성, 이름 또는 전자 메일 주소가 Admin Console에 입력한 정보와 일치하지 않습니다.
  • 사용자가 올바른 제품에 연결되지 않았거나, 제품이 올바른 자격과 연결되지 않았습니다.
  • SAML 사용자 이름이 전자 메일 주소가 아닌 다른 것으로 표시됩니다. 모든 사용자는 설치 과정의 일부로 지정한 도메인에 있어야 합니다.
  • SSO 클라이언트가 Javascript를 로그인 프로세스의 일부로 사용하지만, 사용자가 Javascript를 지원하지 않는 클라이언트(예: Creative Cloud Packager)에 로그인을 시도하고 있습니다.

해결 방법:

  • 사용자: 사용자 정보 및 제품 구성에 대한 대시보드 구성을 확인합니다.
  • SAML 추적을 실행하고 보내는 정보가 대시보드와 일치하는지 확인한 다음 일관성 문제를 수정합니다.

"현재 다른 사용자가 로그인되어 있습니다." 오류

"현재 다른 사용자가 로그인되어 있습니다." 오류는 SAML 표명에서 보낸 특성이 로그인 프로세스를 시작하는 데 사용된 전자 메일 주소와 일치하지 않는 경우 발생합니다.

SAML 표명에서 특성을 확인하고, 그러한 특성이 사용자가 사용하려는 ID와 정확하게 일치하고, Admin Console과도 정확하게 일치하는지 확인합니다.

"시스템 원칙으로 호출하지 못했습니다." 또는 "사용자 생성 실패" 오류

"시스템 원칙으로 호출하지 못했습니다"(뒤에 random 코드가 표시됨) 또는 "사용자 생성 실패" 오류는 SAML 특성에 문제가 있음을 나타냅니다. FirstName, LastName, Email 등 특성 이름의 대소문자가 올바른지 확인합니다(대소문자를 구분함, 이름 지정). 예를 들면 특성이 "Email" 대신 "email"로 끝날 경우 이러한 오류가 발생할 수 있습니다.

이러한 오류는 SAML 표명의 주제 > NameId 요소에 사용자 전자 메일이 포함되지 않은 경우에도 발생할 수 있습니다(SAML 추적을 사용할 때 emailAddress 형식을 가져야 하며 실제 전자 메일 텍스트를 값으로 가져야 함).  

Adobe 지원의 도움이 필요한 경우 SAML 추적을 포함하십시오.

 

"SAML 응답에서 발급자가 ID 공급자에 대해 구성된 발급자와 일치하지 않습니다." 오류

SAML 표명에서 IDP 발급자가 인바운드 SAML에서 구성한 것과 다릅니다. 오타를 찾습니다(예: http와 https). 고객 SAML 시스템에서 IDP 발급자 문자열을 확인할 때 제공한 문자열과 정확하게 일치하는 문자열을 찾습니다. 이 문제는 끝에 슬래시가 누락되어 발생하는 경우가 있습니다.

이 오류에 대한 지원이 필요한 경우 Adobe 대시보드에 입력한 값과 SAML 추적을 제공하십시오.

"SAML 응답의 디지털 서명이 ID 공급자의 인증서 유효성을 검사하지 않았습니다." 오류

인증서 파일이 올바르지 않을 가능성이 많으므로 다시 업로드해야 합니다. 이 문제는 일반적으로 인증서 파일을 변경하고 관리자가 잘못된 인증서 파일을 참조하는 경우 발생합니다. 또한 형식 유형을 확인합니다(ADFS의 경우 PEM 형식이어야 함).

"현재 시간이 표명 조건에 지정된 시간 범위 이전입니다." 오류

Windows:

시스템 시간을 수정하거나 시간 차이 값을 조절합니다.

시스템 시간 설정:

다음 명령을 사용하여 시스템 시간을 확인합니다.

w32tm /query /status

Windows Server에서는 다음 명령을 사용하여 시스템 시간을 수정할 수 있습니다.

w32tm /resync

시스템 시간이 올바르게 설정된 경우에는 IdP와 IdP가 인증하는 시스템 간의 차이에 대한 허용치를 생성해야 할 수 있습니다.

시간 차이

허용된 차이 값을 2분으로 설정하여 시작합니다. 연결할 수 있는지 확인한 다음, 결과에 따라 값을 늘리거나 줄입니다. Microsoft 기술 자료에서 세부 사항을 찾아보십시오. 

요약하려면 Powershell에서 다음 명령을 실행할 수 있습니다.

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #원래 값 확인
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #차이를 2분으로 설정

여기서, "urn:party:sso"는 사용하는 당사자에 대한 식별자 중 하나입니다.

참고: 매개변수 없이 Get-ADFSRelyingPartyTrust cmdlet을 사용하여 모든 당사자가 개체를 신뢰하도록 할 수 있습니다.

UNIX 기반 시스템:

시스템 시간이 올바르게 설정되었는지 확인합니다. 예를 들면, 다음 명령을 사용합니다.

ntpdate -u pool.ntp.org

SubjectConfirmation에서 지정한 수신자가 서비스 공급자 엔티티 ID와 일치하지 않음

특성은 FirstName, LastName, Email과 대소문자가 정확하게 일치해야 하므로 특성을 확인합니다. 이 오류 메시지는 특성 중 하나의 대소문자가 잘못되었음을 의미할 수 있습니다(예: "Email" 대신 "email").  또한 수신자 값을 확인합니다. 이 값은 ACS 문자열을 참조해야 합니다.

ACS 문자열

권한이 없는 자격 증명 오류 401

이 오류는 응용 프로그램이 Federated 로그인을 지원하지 않으며, Adobe ID로 로그인해야 하는 경우 발생합니다. 이 요구 사항이 있는 응용 프로그램의 예는 Framemaker, RoboHelp 및 Captivate입니다.

"SAML 응답에 표명이 포함되지 않음 메시지와 함께 인바운드 SAML 로그인 실패" 오류

로그인 작업 과정을 확인합니다.  다른 시스템이나 네트워크에서 로그인 페이지에 액세스할 수 있지만 내부적으로 액세스할 수 없는 경우에는 블록 에이전트 문자열 문제일 수 있습니다.  또한, SAML 추적을 실행하고 성, 이름 및 사용자 이름이 제대로 형식이 지정된 전자 메일 주소로 SAML 제목에 있는지 확인합니다.

잘못된 요청 오류 400/"SAML 요청 상태가 실패했습니다." 오류/SAML 인증서 유효성 검증에 실패함

잘못된 요청 오류 400

적절한 SAML 표명을 보내고 있는지 확인합니다.

  • ID 공급자가 SAML 표명에서 FirstName, LastName, Email 특성(대소문자 구분)을 전달하는지 확인합니다. 이러한 특성이 SAML 2.0 Connector 구성의 일부로 보낼 IdP에서 구성되지 않은 경우 인증이 작동하지 않습니다.
  • 제목에 NameID 요소가 없습니다. 제목 요소에 NameId 요소가 포함되어 있는지 확인합니다. 전자 메일 특성과 같아야 하며, 인증할 사용자의 전자 메일 주소여야 합니다.
  • https와 http와 같이 쉽게 간과될 수 있는 맞춤법 오류를 확인합니다.
  • 올바른 인증서를 제공했는지 확인합니다. 압축 해제된 SAML 요청/응답을 사용하도록 IDP를 구성해야 합니다. Okta 인바운드 SAML 프로토콜은 압축 해제된 설정에서만 작동하고, 압축된 설정에서는 작동하지 않습니다.

SAML Tracer for Firefox와 같은 유틸리티는 확인을 위해 표명 압축을 풀고 표시하는 데 도움이 됩니다. Adobe 지원의 도움이 필요한 경우 이 파일이 필요합니다. 

다음 작업 예는 SAML 표명의 형식을 제대로 지정하는 데 도움이 됩니다.

다운로드

Microsoft ADFS 사용:

  1. 모든 Active Directory 계정에는 Active Directory에 나열된 전자 메일 주소가 있어야 성공적으로 로그인할 수 있습니다(이벤트 로그: SAML 응답의 표명에 NameId가 없음). 이를 먼저 확인합니다.
  2. 대시보드에 액세스합니다. 
  3. ID 탭과 도메인을 클릭합니다.
  4. [구성 편집]을 클릭합니다.
  5. [IDP 바인딩]을 찾습니다. HTTP-POST로 전환하고 저장합니다. 
  6. 로그인 환경을 다시 테스트합니다.
  7. 작동하지만, 이전 설정을 사용하려는 경우 HTTP-REDIRECT로 다시 돌아가서 메타데이터를 ADFS에 다시 업로드합니다.

다른 IdP 사용:

  1. 오류 400이 발생하면 IdP에 의해 성공적인 로그인이 거부되었음을 의미합니다.
  2. IdP 로그에서 오류 원인을 확인합니다.
  3. 문제를 수정하고 다시 시도합니다.

Microsoft ADFS 구성

단계별 안내서를 참조하여 Microsoft ADFS를 구성하십시오.

Mac 클라이언트에서 Creative Cloud에 빈 창이 표시되면 "Creative Cloud" 사용자 에이전트를 신뢰할 수 있는지 확인합니다.

Microsoft Azure 구성

단계별 안내서를 참조하여 Microsoft Azure를 구성하십시오.

OneLogin 구성

단계별 안내서를 참조하여 OneLogin을 구성하십시오.

Okta 구성

단계별 안내서를 참조하여 Okta를 구성하십시오.

이 작업에는 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License의 라이센스가 부여되었습니다.  Twitter™ 및 Facebook 게시물은 Creative Commons 약관을 적용받지 않습니다.

법적 고지 사항   |   온라인 개인 정보 보호 정책