Apžvalga

Bandant prisijungti prie „Adobe“ produktų, paslaugų arba mobiliųjų programų su susiejimo ID (SSO), parodomas vienas iš toliau pateiktų klaidos pranešimų.

Kai „Adobe“ administravimo pulte sėkmingai sukonfigūruosite SSO, būtinai spustelėkite Atsisiųsti metaduomenis ir įrašykite SAML XML metaduomenų failą į savo kompiuterį. Šis failas būtinas tapatybės teikėjui, kad būtų įjungta funkcija „single sign-on“. Turite tinkamai importuoti XML konfigūracijos duomenis į tapatybės teikėją („IdP“). Tai reikia atlikti tam, kad SAML būtų integruota į „IdP“ ir būtų tinkamai sukonfigūruoti duomenys.

Toliau nurodytos kai kurios dažniausios konfigūracijos problemos.

  • Sertifikatas yra ne PEM formato.
  • Sertifikatas, kurio plėtinys yra ne „.cer“. „.pem“ arba „.cert“, neveikia.
  • Sertifikatas užšifruotas.
  • Sertifikatas yra vienos eilutės formato. Būtinas daugiaeilis formatas.
  • Įjungta sertifikato atšaukimo patikra (šiuo metu nepalaikoma).
  • SAML faile nurodytas „IdP“ leidėjas nesutampa su leidėju, nurodytu administravimo pulte (pvz., rašybos klaida, praleisti ženklai, „https“ vietoje „http“).

Jei turite klausimų, kaip konfigūruoti „IdP“ naudojant SAML XML metaduomenų failą, nurodymų kreipkitės tiesiogiai į „IdP“, nes kiekvieno „IdP“ nurodymai gali skirtis.

Toliau pateikti keli konkrečių „IdP“ pavyzdžiai (sąrašas negalutinis – tinka bet kuris „IdP“, palaikantis SAML 2).

„Okta“: norėdami tinkamai sukonfigūruoti duomenis, rankiniu būdu nukopijuokite reikiamą informaciją iš XML failo ir įveskite ją į atitinkamus naudotojo sąsajos laukus.

„Ping Federate“: įkelkite XML failą arba įveskite duomenis į atitinkamus naudotojo sąsajos laukus.

„Microsoft ADFS“: jūsų sertifikatas turi būti PEM formato, tačiau numatytasis ADFS formatas yra DER. Sertifikatą galima konvertuoti naudojant komandą openssl, kurią operacinėse sistemose „OS X“, „Windows“ ir „Linux“ galima naudoti taip:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Atlikę šį veiksmą, pervardykite sertifikatą „.cer“.

Jei turite kelis sertifikatus, taip pat įsitikinkite, kad naudojate reikiamą sertifikatą; tai turi būti tas sertifikatas, kuriuo ketinama pasirašyti užklausas. (Pavyzdžiui, jei užklausoms pasirašyti naudojamas „atpažinimo ženklų pasirašymo“ sertifikatas, tai ir yra sertifikatas, kurį reikia naudoti.) Sertifikato atšaukimo patikra turi būti atšaukta.

Jei sukonfigūravote „IdP“ taip, kaip išmanote, tačiau vis tiek rodoma klaida, atsižvelgdami į tai, kas rodoma, išbandykite vieną arba kelis toliau nurodytus patarimus.

Metaduomenų atsisiuntimo nuoroda

Pagrindiniai trikčių nustatymo ir šalinimo veiksmai

Su „single sign-on“ susijusias problemas dažnai lemia paprastos klaidos, kurių lengva nepastebėti. Atkreipkite dėmesį į toliau nurodytus dalykus.

  • Naudotojas produkto konfigūracijai priskirtas su teise.
  • Siunčiamame SAML faile naudotojo vardas, pavardė bei el. pašto adresas nurodyti tiksliai taip, kaip rodoma įmonės ataskaitų srityje, ir tinkamai pažymėti.
  • Peržiūrėdami visus įrašus administravimo pulte ir tapatybės teikėjo sistemoje, patikrinkite, ar nėra rašybos arba sintaksės klaidų.
  • Įdiegta naujausia „Creative Cloud“ darbalaukio programos versija.
  • Naudotojas bando prisijungti tinkamoje vietoje (CC darbalaukio programoje, CC programoje arba svetainėje adobe.com)

Klaida „Įvyko klaida“ su mygtuku „Bandykite dar kartą“

Įvyko klaida – BANDYKITE DAR KARTĄ

Ši klaida paprastai įvyksta, kai naudotojas sėkmingai autentifikuojamas ir „Okta“ sėkmingai persiunčia autentifikavimo atsaką „Adobe“ serveriams.

„Adobe“ administravimo pulte patikrinkite toliau nurodytus dalykus.

Tapatybės skirtuke:

  • Įsitikinkite, kad suaktyvintas susijęs domenas.

Produktų skirtuke:

  • Įsitikinkite, kad naudotojas susietas su reikiamu produkto pseudonimu ir domenu, kurį nurodėte sukonfigūruoti kaip susiejimo ID.
  • Įsitikinkite, kad produkto pseudonimui suteikta tinkama (-os) teisė (-ės).

Naudotojų skirtuke:

  • Įsitikinkite, kad kaip naudotojo vardas nurodytas visas el. pašto adresas.

Prisijungimo klaida „Prieiga neleidžiama“

Neleidžiamos prieigos klaida

Toliau nurodytos galimos šios klaidos priežastys.

  • Siunčiamame SAML teiginyje esantis vardas, pavardė arba el. pašto adresas nesutampa su informacija, įvesta administravimo pulte.
  • Naudotojas susietas su netinkamu produktu arba produktas susietas su netinkama teise.
  • Įvestas SAML naudotojo vardas nėra el. pašto adresas. Visi naudotojai turi priklausyti tam pačiam domenui, kurį nurodėte atlikdami sąranką.
  • Jūsų SSO kliento programa prisijungimo procesui naudoja „Javascript“, tačiau bandote prisijungti kliento programoje, kuri nepalaiko „Javascript“ (pvz., „Creative Cloud Packager“).

Problemos sprendimas

  • Patikrinkite naudotojo ataskaitų srities konfigūraciją: naudotojo informaciją ir produkto konfigūraciją.
  • Paleiskite SAML sekimą, patikrinkite, ar siunčiama informacija atitinka informaciją ataskaitų srityje, ir ištaisykite nesutapimus.

Klaida „Šiuo metu prisijungęs kitas naudotojas“

Klaida „šiuo metu prisijungęs kitas naudotojas“ rodoma, kai siunčiamame SAML teiginyje esantys atributai nesutampa su el. pašto adresu, kuris naudotas prisijungimo procesui pradėti.

Patikrinkite atributus SAML teiginyje ir įsitikinkite, kad jie tiksliai sutampa su ID, kurį naudotojas bando naudoti ir kuris nurodytas administravimo pulte.

Klaida „Nepavyko paskambinti pagal sistemos principą“ arba „Nepavyko sukurti naudotojo“

Klaida „nepavyko paskambinti pagal sistemos principą“, po kurios nurodomas atsitiktinis kodas, arba „nepavyko sukurti naudotojo“ nurodo SAML atributų problemą. Įsitikinkite, kad nurodytos tinkamos atributų didžiosios ir mažosios raidės (varduose skiriamos didžiosios ir mažosios raidės): „FirstName“, „LastName“, „Email“. Pavyzdžiui, užbaigus atributą žodžiu „email“, o ne „Email“, gali įvykti klaida.

Šios klaidos taip pat gali įvykti, jei naudotojo vardo nėra SAML teiginio elemente „Subject > NameId“ (naudojant „SAML Tracer“, būtina naudoti formatą „emailAddress“ ir kaip vertę įvesti tikrąjį el. pašto adresą).  

Jei norite, kad „Adobe“ palaikymo komanda suteiktų pagalbos, kartu pateikite SAML sekimo turinį.

 

Klaida „SAML atsake esantis leidėjas nesutampa su leidėju, sukonfigūruotu kaip tapatybės teikėjas“

SAML teiginyje nurodytas IDP leidėjas skiriasi nuo sukonfigūruoto leidėjo gaunamame SAML. Patikrinkite, ar nėra spausdinimo klaidų (pvz., įrašyta „http“ vietoje „https“). Kai IDP leidėjo eilutę tikrinate naudodami kliento SAML sistemą, turite pažiūrėti, ar ji TIKSLIAI sutampa su jų pateikta eilute. Kartais ši problema kyla dėl praleisto pasvirojo brūkšnio eilutės pabaigoje.

Jei reikia pagalbos dėl šios klaidos, pateikite SAML sekimo turinį ir vertes, kurias įvedėte į „Adobe“ ataskaitų sritį.

Klaida „SAML atsake esantis skaitmeninis parašas nepatvirtintas pagal tapatybės teikėjo sertifikatą“

Sertifikato failas tikriausiai yra netinkamas, todėl jį reikia iš naujo įkelti. Ši problema paprastai kyla, kai atliekamas pakeitimas ir administratorius nurodo netinkamą sertifikato failą.  Taip pat patikrinkite formatą (sistemoje ADFS reikalingas PEM formatas).

Klaida „Dabartinis laikas yra ankstesnis už laikotarpį, nurodytą teiginio sąlygose“

„Windows“

Arba nustatykite teisingą laiką sistemos laikrodyje, arba pakoreguokite laiko skirtumo vertę.

Sistemos laiko nustatymas

Patikrinkite sistemos laikrodį, naudodami šią komandą:

w32tm /query /status

Sistemoje „Windows Server“ sistemos laikrodžio laiką galima ištaisyti naudojant šią komandą:

w32tm /resync

Jei sistemos laikrodis nustatytas teisingai, gali reikėti nustatyti „IdP“ ir sistemos, kurią jis autentifikuoja, laikų skirtumo toleranciją.

Laiko skirtumas

Pirmiausia kaip leidžiamąją skirtumo vertę nustatykite 2 minutes. Patikrinkite, ar jums pavyksta prisijungti, tada padidinkite arba sumažinkite vertę, atsižvelgdami į rezultatą. Išsamią informaciją žr. „Microsoft“ žinių bazėje

Norėdami apibendrinti, „Powershell“ galite paleisti šias komandas:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Kad pamatytumėte, kokios buvo pradinės vertės
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Nustatykite 2 minučių skirtumą

čia "urn:party:sso" yra vienas iš patikimumo tikrinimo subjekto identifikatorių

Pastaba: jei norite gauti visus patikimumo tikrinimo subjekto patikimus objektus, galite naudoti komandą Get-ADFSRelyingPartyTrust cmdlet be parametrų.

UNIX sistemos

Įsitikinkite, kad sistemos laikrodis nustatytas teisingai, pvz., naudodami šią komandą:

ntpdate -u pool.ntp.org

Gavėjas, nurodytas elemente „SubjectConfirmation“, nesutapo su mūsų paslaugos teikėjo objekto ID

Patikrinkite atributus, nes jų didžiosios ir mažosios raidės turi tiksliai sutapti, kaip nurodyta: „FirstName“, „LastName“, „Email“. Šis klaidos pranešimas gali reikšti, kad vieno iš atributų didžiosios ir mažosios raidės parašytos netinkamai, pvz., vietoje „Email“ parašyta „email“.  Taip pat patikrinkite gavėjo vertę – ji turi nurodyti ACS eilutę.

ACS eilutė

Klaida 401 – neįgalioti kredencialai

Ši klaida įvyksta, kai programa nepalaiko susietojo prisijungimo ir būtina prisijungti naudojant „Adobe ID“. Šį reikalavimą keliančių programų pavyzdžiai: „Framemaker“, „RoboHelp“ ir „Captivate“.

Klaida „Nepavyko prisijungimas su gaunamu SAML ir parodytas pranešimas: SAML atsake nebuvo teiginių“

Patikrinkite prisijungimo eigą.  Jei jums pavyksta patekti į prisijungimo puslapį kitame kompiuteryje arba tinkle, tačiau nepavyksta vietoje, problemos priežastis gali būti agento blokavimo eilutė.  Taip pat paleiskite SAML sekimą ir įsitikinkite, kad SAML temos elemente yra vardas, pavardė ir naudotojo vardas, įvestas kaip tinkamo formato el. pašto adresas.

Klaida 400 – netinkama užklausa / klaida „SAML užklausos būsena – nesėkminga“ / nepavyko patikrinti SAML sertifikato

Klaida 400 – netinkama užklausa

Patikrinkite, ar siunčiamas tinkamas SAML teiginys:

  • Patikrinkite, ar tapatybės teikėjas SAML teiginyje perduoda šiuos atributus (skiriamos didžiosios ir mažosios raidės): „FirstName“, „LastName“, „Email“. Jei „IdP“ sistemoje nesukonfigūruota, kad šie atributai būtų siunčiami su „SAML 2.0 Connector“ konfigūracija, autentifikavimas neveiks.
  • Temos elemente nėra elemento „NameID“. Patikrinkite, ar elemente „Subject“ yra elementas „NameId“. Jis turi sutapti su atributu „Email“, kurio vertė turi būti naudotojo, kurį norima autentifikuoti, el. pašto adresas.
  • Rašybos klaidos, ypač sunkiai pastebimos, pvz., „https“ vietoje „http“.
  • Patikrinkite, ar pateiktas tinkamas sertifikatas. IDP turi būti sukonfigūruoti taip, kad naudotų nesuglaudintas SAML užklausas ir atsakus. „Okta“ gaunamo SAML protokolas veikia tik su nesuglaudintomis nuostatomis.

Paslaugų programa, pvz., naršyklei „Firefox“ skirta SAML Tracer, gali padėti išpakuoti ir parodyti teiginį, kad galėtumėte jį patikrinti. Jei kreipsitės pagalbos į „Adobe“ palaikymo komandą, bus prašoma pateikti šį failą. 

Toliau pateiktas veikiantis pavyzdys gali padėti tinkamai paruošti SAML teiginį.

Atsisiųsti

Kai naudojama „Microsoft ADFS“

  1. Kiekviena „Active Directory“ paskyra privalo turėti el. pašto adresą, kuris nurodytas „Active Directory“, kad pavyktų prisijungti (įvykių žurnalas: SAML atsako teiginyje nėra „NameId“). Pirmiausia patikrinkite šį dalyką.
  2. Atverkite ataskaitų sritį
  3. Spustelėkite skirtuką „Tapatybė“ ir domeną.
  4. Spustelėkite „Redaguoti konfigūraciją“.
  5. Suraskite IDP saistymą. Pakeiskite į HTTP-POST ir įrašykite pakeitimus. 
  6. Dar kartą pabandykite prisijungti.
  7. Jei prisijungimas veikia, tačiau jums labiau tinka ankstesnė nuostata, vėl pakeiskite į HTTP-REDIRECT ir iš naujo nusiųskite metaduomenis į ADFS.

Kai naudojami kiti „IdP“

  1. Jei rodoma klaida 400, tai reiškia, kad jūsų „IdP“ atmetė sėkmingą prisijungimą.
  2. Peržiūrėkite „IdP“ žurnalus, kad nustatytumėte klaidos priežastį.
  3. Ištaisykite problemą ir pabandykite dar kartą.

„Microsoft ADFS“ konfigūravimas

Žiūrėkite išsamų „Microsoft ADFS“ konfigūravimo vadovą.

Jei „Mac“ kliento programa rodo tuščią langą sistemoje „Creative Cloud“, įsitikinkite, kad „Creative Cloud“ naudotojo agentas nustatytas kaip patikimas.

„Microsoft Azure“ konfigūravimas

Žiūrėkite išsamų „Microsoft Azure“ konfigūravimo vadovą.

„OneLogin“ konfigūravimas

Žiūrėkite išsamų „OneLogin“ konfigūravimo vadovą.

„Okta“ konfigūravimas

Žiūrėkite išsamų „OneLogin“ konfigūravimo vadovą.

Šis darbas yra licencijuotas pagal licenciją „Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License“  „Twitter™“ ir „Facebook“ skelbimams „Creative Commons“ sąlygos netaikomos.

Teisiniai pranešimai   |   Privatumo internete politika