Pārskats

Mēģinājuma pierakstīties Adobe produktos, pakalpojumos vai mobilajās lietotnēs ar Federated ID (SSO) rezultātā parādās viens no šādiem kļūdas ziņojumiem.

Pēc veiksmīgas SSO konfigurēšanas Adobe Admin Console, pārliecinieties, ka esat nospiedis uz „Lejupielādēt metadatus” un saglabājis SAML XML metadatu failu uz sava datora.Jūsu identitātes nodrošinātājam ir nepieciešams šis fails, lai iespējotu vienotas pierakstīšanās iespēju.Jums ir pareizi jāimportē XML konfigurācijas dati savā identitātes nodrošinātājā (IdP). Tas ir nepieciešams SAML integrācijai ar jūsu idP, un nodrošinās, lai dati tiktu pareizi konfigurēti.

Šādas ir dažas no biežāk sastopamajām konfigurācijas problēmām:

  • Sertifikāts ir kādā citā, nevis PEM formātā.
  • Sertifikātam ir kāds cits paplašinājums, nevis .cer. .pem, un .cert nedarbojas.
  • Sertifikāts ir šifrēts.
  • Sertifikāts ir vienas līnijas formātā. Tiek pieprasītras vairākas rindas.
  • Serifikāta atsaukšanas pārbaude ir ieslēgta (pašlaik netiek atbalstīta).
  • IdP izsniedzējs SAML nav tas pats, kas tika norādīts Admin Console (piemēram, pareizrakstības kļūda, trūkst simbolu, https, nevis http).

Ja jums ir radušies jāutājumi, kā izmantot SAML XML metadatu failu, lai konfigurētu jūsu IdP, sazinieties ar IdP, lai saņemtu norādījumus, kas katram Idp ir atšķirīgi.

Daži konkrēto IdP piemēri (saraksts nav visaptverošs — der jebkurš ar SAML 2 saderīgs IdP):

Okta:Manuāli paņemiet nepieciešamo informāciju XML failā un ievietojiet to atbilstošajos UI laukos, lai pareizi konfigurētu datus.

Ping Federate: Augšupielādējiet XML failu vau ievadiet datus atbilstošajos UI laukos.

Microsoft ADFS: Jūsu sertifikātam ir jābūt PEM formātā, bet ADFS noklusējumam - DER formātā. Jūs varat šādi konvertēt sertifikātu, izmantojotopenssl komandu, kas pieejama OS X, Windows, vai Linuxprogrammā:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Pēc iepriekš minētās darbības veikšanas, pārdevējiet sertifikātu uz .cer.

Tāpat pārliecinieties par pareizā sertifikāta izsniegšanu, ja jums ir vairāk nekā viens sertifikāts, jo tam ir jābūt tādam, kas parakstīs pieprasījumus. (Piemēram, ja „marķierierīces” sertifikāts paraksta pieprasījumus, tas ir atbilstošais sertifikāts.) Sertifikāta atsaukšanas pārbaudei ir jābūt izslēgtai.

Ja esat saskaņā ar savām zināšanām konfigurējis savu IdP, veiciet vienu vai vairākas šādas darbības, atkarībā no saņemtās kļūdas.

Lejupielādējiet Metadatu saiti

Pamata traucējummeklēšana

Problēmas ar vienotu pierakstīšanos parasti rada ļoti vienkāršas kļūdas, kuras ir iespējams palaist garām. Jo īpaši, pārbaudiet šādas nianses:

  • Produkta konfigurācijai ir piešķirts lietotājs ar pilnvarām.
  • Lietotāja vārds, uzvārds un e-pasta adrese tiek nosūtīta SAML tieši tā, kā tā parādās uz uzņēmuma paneļa un atrodas SAML ar pareizu marķējumu.
  • Pārbaudiet visus ierakstus Admin Console un jūsu identitātes nodrošinātājā, vai tur nav ieviesušās pareizrakstības vai sintakses kļūdas.
  • Creative Cloud darbvirsmas lietotne ir atjaunināta ar jaunāko tās versiju.
  • Lietotājs pierakstās pareizajā vietā (CC darbvirsmas lietotne, CC lietotne vai adobe.com)

Kļūda „Radās kļūda" ar pogu, kas marķēta "Mēģiniet vēlreiz"

Radās klūda - MĒĢINIET VĒLREIZ

Šī kļūda parasti rodas pēc veiksmīgas lietotāja autentificēšanas, kad Okta ir veiksmīgi nosūtījusi autentificēšanas atbildi uz Adobe.

Adobe Admin Console, apstipriniet šādas darbības:

Uz Identitātes cilnes:

  • Pārliecinieties, ka saistītais domēns ir aktivizēts.

Uz Produktu cilnes:

  • Pārliecinieties, ka lietotājs ir saistīts ar pareizo produkta iesauku un domēnā, par kuru jūs norādījāt, ka tas ir konfigurēts kā Federated ID.
  • Pārliecinities, ka produkta iesaukai ir piešķirtas pareizās pilnvaras.

Uz Lietotāja cilnes:

  • Pārliecinieties, ka lietotāja vārds tiek noradīts pilnas e-pasta adreses veidā.

Piesakoties, parādās kļūda „Piekļuve liegta”

Kļūda „Piekļuve liegta”

Iespējamie kļūdas rašanās iemesli:

  • Personas vārds, uzvārds vai e-pasta adrese, kas nosūtīta SAML apgalvojumā, neatbilst Admin Console ievadītajai personai.
  • Lietotājs nav saistīts ar pareizo produktu, vai produkts nav saistīts ar pareizajām pilnvarām.
  • SAML lietotāja vārds neparādās kā e-pasta adrese. Visiem lietotājiem ir jāatrodas domēnā, par kuru jūs norādījāt, ka tas ir iestatnes procesa daļa.
  • Jūsu SSO klients izmanto Javascript kā pierakstīšanās procesa daļu, un jūs mēģināt pieteikties klienta kontā, kas neatbalsta Javascript (piemēram Creative Cloud Packager).

Kā atrisināt šo problēmu:

  • Pārbaudiet lietotāja infopaneļa konfigurāciju: lietotāja informāciju un produkta konfigurāciju.
  • Palaidiet SAML trasi, pārliecinieties, ka nosūtītā informācija atbilst infopanelim, un novērsiet neatbilstības.

Kļūda „Pašlaik ir pierakstījies cits lietotājs”

Kļūda „Pašlaik ir pierakstījies cits lietotājs” rodas, kad atribūti, kas nosūtīti SAML apgalvojumā neatbilst e-pasta adresei, kas tika izmantota, lai sāktu pieteikšanās procesu.

Pārbaudiet atribūtus SAML apgalvojumā un pārliecinieties, ka tie precīzi atbilst ID, kuru lietotājs mēģina izmantot, kā arī precīzi atbilst informācijai Admin Console.

Kļūda „Neizdevās veikt zvanu kā sistēmas principu” vai „Lietotāja izveide neizdevās”

Kļūda „Neizdevās veikt zvanu kā sistēmas principu” (kam seko nejaušs kods) vai „Lietotāja izveide neizdevās” norāda uz SAML atribūtu problēmu.Pārliecinieties, ka atribūta nosaukumā ir izmantots pareizais reģistrs (reģistrjūtīgs, nosaukšana): Vārds, Uzvārds, E-pasts. Piemēram, atribūta pabeigšana ar „e-pasts”, nevis „E-pasts” var radīt šīs kļūdas.

Šīs kļūdas var rasties arī, ja SAML apgalvojuma Tēmā > NameID elementā nav ierakstīta e-pasta adrese (izmantojot SAML Tracer, tam būtu jābūt formātā emailAddress un ar e-pasta ziņojumu kā teksta vērtību).  

Ja jums ie nepieciešama Adobe atbalsta palīdzība, iekļaujiet SAML trasi.

 

Kļūda „Lietotājs SAML atbildē neatbilda lietotājam, kas konfigurēts identitātes nodrošinātājam”

IDP lietotājs SAML apgalvojumā atšķiras no tā, kas tika konfigurēts ienākošajā SAML. Pārbaudiet, vai nav radušās drukas kļūdas (piemēram, https, nevis http). Pārbaudot IDP izdevēja virkni klienta SAML sistēmā, jums jāmeklē precīza atbilsme to sniegtajai virknei. Šī problēma dažreiz parādās, jo beigās trūkst slīpsvītras.

Ja jums ir nepieciešama palīdzība ar šo kļūdu, norādiet SAML trasi un Adobe infopanelī ievadītās vērtības.

Kļūda „Digitālais paraksts SAML atbildē neatika apstiprināts ar identitātes nodrošinātāja sertifikātu”

Sertifikāta fails iespējams ir nepareizs, un to ir nepieciešams atkārtoti augšupielādēt. Problēma parasti parādās pēc izmaiņu veikšanas, un administrators norāda nepareizu sertifikāta failu.Pārbaudiet arī formāta veidu (ADFS jābūt PEM formātam)

Kļūda „Pašreizējais laiks ir pirms laika diapazona,kas norādīts apgalvojuma noteikumos”

Windows:

Pārbaudiet sistēmas pulksteni vai izlabojiet norādīto laika vērtības neatbilstību.

Sistēmas laika iestatīšana:

Pārbaudiet sistēmas pulksteni ar šādu komandu:

w32tm /query /status

Jūs varat noregulēt sistēmas pulksteni Windows serverī ar šādas komandas palīdzību:

w32tm /resync

Ja sistēmas pulkstenis ir iestatīts pareizi, jūs varat izveidot toleranci atšķirībai starp IdP un sistēmu, kas apstiprina autentiskumu.

Pulksteņa neprecizitāte

Sāciet ar pieļaujamās neprecizitātes vērtības iestatīšanu uz 2 minūtēm. Pārliecinities, ka savienojums ir iespējams, un tad palieliniet vai samaziniet vērtību atkarībā no rezultāta. Plašākai informācijai skatīt Microsoft pamatinformāciju

Apkopojot minēto informāciju, no Powershell jūs varat palaist šādas komandas:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Tikai lai redzētu sākotnējās vērtības
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Iestatiet novirzi uz 2 minūtēm

kur "urn:party:sso" ir viens no identifikatoriem jūsu pārbaudītājam

Piezīme: Jūs varat izmantot Get-ADFSRelyingPartyTrust cmdletbez parametriem, lai iegūtu visus pārbaudītāja uzticamos objektus.

Uz UNIX-balstītas sistēmas:

Pārliecinieties, vai sistēmas pulkstenis ir pareizi noregulēts, piemēram, veicot šādu komandu:

ntpdate -u pool.ntp.org

SubjectConfirmation norādītais saņēmējs neatbilst mūsu pakalpojuma sniedzēja struktūrvienības id

Pārbaudiet atribūtus, jo tiem ir precīzi jāatbilst šādam reģistram: Vārds, Uzvārds, E-pasts. Šīs kļūdas paziņojums var nozīmēt, ka vienam no atribūtiem ir nepareizais reģistrs, piemēram „e-pasts”, nevis „E-pasts”. Pārbaudiet arī saņēmēja vērtību - tai jāuzrāda ACS virkne.

ACS virkne

Kļūda 401 neatļauti akreditācijas dati

Šī kļūda rodas, ja lietotne neatbalsta Federated pieteikšanos, un jāpiesaka kā Adobe ID. Framemaker, RoboHelp, un Captivate ir lietoņu ar šādu prasību piemēri.

Kļūda „Ienākošā SAML pieteikšanās neizdevās ar paziņojumu: SAML atbilde nesaturēja apgalvojumus"

Pārbaudiet pieteikšanās darbplūsmu. Ja spējat piekļūt pierakstīšanās lapai no citas ierīces vai tīkla, bet ne iekšēji, problēmu varētu radīt bloķējošā aģenta virkne. Palaidiet arī SAML trasi un pārliecinieties, vai SAML tēmā ir ierakstīts Vārds, Uzvārds un Lietotājvārds kā pareizi formatizēta e-pasta adrese.

Kļūda 400 nederīgs pieprasījums/ Kļūda „SAML pieprasījuma status nav veiksmīgs" / SAML sertifikāta validācija neizdevās

Kļūda 400 nederīgs pieprasījums

Pārliecinieties, vai ir nosūtīts pareizais SAML apgalvojums:

  • Pārliecinieties, ka identitātes nodrošinātājs SAML apgalvojumā norāda šādus atribūtus (reģistrjūtīgi): Vārds, Uzvārds, E-pasts. Ja šie atribūti nav konfigurēti IdP, lai nosūtītu kā SAML 2.0 Connector konfigurācijas daļu, authentificēšana neizdosies.
  • Tēmā nav NameID elementa Pārliecienieties, ka tēmas elements satur NameId elementu. Tam ir jāatbilst E-pasta atribūtam, kam vajadzētu būt tā lietotāja, kuru jūs vēlaties autentificēt, e-pasta adresei.
  • Pareizrakstības kļūdas, jo īpaši, tādas, kas nav pamanītas, piemēram https, nevis http.
  • Pārbaudiet, vai tika ievadīts pareizais sertifikāts. IDPs ir jākonfigurē, lai izmantotu nesaspiesto SAML pieprasījumu/atbildes. Okta ienākošais SAML protokols darbojas tikai ar Nesaspiestiem iestatījumiem (iestatījumiem, kas nav saspiesti).

Tāds rīks kā SAML Tracer Firefox pārlūkam var palīdzēt apgalvojuma atpakošanā un parādīt to pārbaudes veikšanai. Ja jums ir nepieciešama Adobe atbalsta palīdzība, jums tiks prasīts šis fails.

Šāds darbības piemērs varētu palīdzēt jums SAML apgalvojuma formatēšanā:

Lejupielādēt

Ar Microsoft ADFS:

  1. Katram Active Directory kontam Active Directory ir jānorāda e-pasta adrese, lai veiksmīgi pieteiktos (notikumu žurnals: SAML atbildei apgalvojumā nav NameId). Vispirms izmēģiniet šo.
  2. Piekļūstiet infopanelim
  3. Nospiediet uz Identitātes cilnes un domēna.
  4. Nospiediet uz „Rediģēt konfigurāciju”.
  5. Atrodiet „IDP saistīšana”. Pārmainiet uz HTTP-POST un saglabājiet. 
  6. Atkārtoti pārbaudiet pieteikšanās procedūru.
  7. Ja tā darbojas, bet jūs dodat priekšroku iepriekšējam iestatījumam, vienkārši pārmainiet atpakaļ uz HTTP-REDIRECT un atkārtoti augšupielādējiet metadatus ADFS.

Ar citiem IdP:

  1. Kļūdas 400 parādīšanās nozīmē, ka jūsu IdP atteica veiksmīgu pieteikšanos.
  2. Pārbaudiet savus IdP žurnālus, lai atrastu kļūdas cēloni.
  3. Novērsiet problēmu un mēģiniet vēlreiz.

Microsoft ADFS konfigurēšana

Skatiet detalizētās vadlīnijasMicrosoft ADFS konfigurēšanai.

Ja Mac klientam Creative Cloud ir tukšs logs, pārliecinieties ka „Creative Cloud” lietotāja aģents ir uzticams.

Microsoft Azure konfigurēšana

Skatiet detalizētās vadlīnijasMicrosoft Azure konfigurēšanai.

OneLogin konfigurēšana

Skatiet detalizētās vadlīnijasOneLogin konfigurēšanai.

Okta konfigurēšana

Skatiet detalizētās vadlīnijasOkta konfigurēšanai.

Šis darbs ir licencēts saskaņā ar Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported licenci  Uz portālā Twitter™ un Facebook izvietotajiem ziņojumiem neattiecas Creative Commons sistēmas noteikumi.

Juridisks paziņojums   |   Tiešsaistes konfidencialitātes politika