نظرة عامة

تؤدي محاولة تسجيل الدخول إلى منتجات Adobe أو الخدمات أو تطبيقات الجوال التي تحتوي على Federated ID (SSO) إلى ظهور إحدى رسائل الخطأ التالية.

بعد تهيئة SSO بنجاح داخلAdobe Admin Console، تأكد من أنك قمت بالنقر على تنزيل بيانات التعريف وحفظ ملف البيانات التعريفية SAML XML على جهاز الكمبيوتر.يتطلب موفر الهوية الخاص بك توفر هذا الملف لتمكين تسجيل الدخول الموحد.يجب عليك استيراد تفاصيل تهيئة XML بشكل صحيح إلى موفر الهوية (IdP). هذا مطلوب لاندماج SAML مع IdP الخاص بك والتأكد من تهيئة البيانات بصورة صحيحة.

فيما يلي بعض مشكلات التكوين الشائعة:

  • تظهر الشهادة في تنسيق إلى جانب PEM.
  • تتضمن الشهادة ملحقًا إلى جانب .cer. .pem وكذلك لا يعمل .cert.
  • الشهادة مشفرة.
  • الشهادة في تنسيق أحادي الخط. مطلوب خط متعدد.
  • يتم تشغيل التحقق من إبطال الشهادة (غير مدعم حاليًا).
  • لا يُعد مصدر IdP في SAML هو نفسه وفقًا لما تم تعريفه في Admin Console (على سبيل المثال، خطأ إملائي، أحرف مفقودة، https في مقابل http)

إذا كانت لديك أسئلة حول كيفية استخدام ملف البيانات التعريفية SAML XML لتكوين IdP الخاص بك، فيمكنك التواصل مع IdP مباشرةً للحصول على الإرشادات التي تختلف بحسب IdP.

إليك بعض الأمثلة بشأن IdP مُحددة (ليست قائمة شاملة-أي IdP متوافق مع SAML 2 يعمل):

Okta: خذ المعلومات المطلوبة يدويًا الموجودة في ملف XML وأدخلها في حقول واجهة المستخدم المناسبة لتهيئة البيانات بشكل صحيح.

Ping Federate: قم بتحميل ملف XML أو أدخل البيانات في حقول واجهة المستخدم المناسبة.

Microsoft ADFS: يجب أن تكون شهادتك في تنسيق PEM، ولكن الافتراضي لـ ADFS هو تنسيق DER. يمكنك تحويل الشهادة باستخدام أمر openssl، المتوفر في OS X أو Windows أو Linux كالتالي:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

بعد تنفيذ الخطوة أعلاه، أعد تسمية الشهادة .cer.

تأكد أيضًا من استخدام الشهادة الصحيحة إذا كان لديك أكثر من واحدة؛ يجب أن تكون هي نفسها التي سيجري بها توقيع الطلبات. (على سبيل المثال، إذا كانت شهادة "توقيع الرمز المميز" هي التي توقع الطلبات، فهذه هي الشهادة المراد استخدامها.) يجب إبطال التحقق من إبطال الشهادة.

إذا كنت قد قمت بتهيئة IdP الخاص بك حسب معرفتك، فجرب واحدًا أو أكثر مما يلي بناءً على الخطأ الذي تم تلقيه.

تنزيل رابط البيانات التعريفية

استكشاف الأخطاء الرئيسية وإصلاحها

غالبًا ما تنشأ المشكلات المتعلقة بتسجيل الدخول الموحد بسبب أخطاء أساسية جدًا من السهل أن نغفل عنها. على وجه الخصوص، تحقق مما يلي:

  • يتم تعيين المستخدم لتهيئة منتج مع استحقاق.
  • يتم إرسال الاسم الأول واسم العائلة وعنوان البريد الإلكتروني للمستخدم في SAML تمامًا كما يظهروا في لوحة تحكم المؤسسة ويقدموا في SAML مع التسمية الصحيحة.
  • تحقق من جميع الإدخالات في وحدة تحكم الإدارة وموفر الهوية بحثًا عن الأخطاء الإملائية أو بناء الجملة.
  • تم تحديث تطبيق Creative Cloud Desktop إلى الإصدار الأحدث.
  • يقوم المستخدم بتسجيل الدخول إلى المكان الصحيح (تطبيق CC Desktop، أو تطبيق CC، أو adobe.com)

خطأ "حدث خطأ" مع زر مسمى "حاول مرة أخرى"

حدث خطأ - حاول مرة أخرى

يحدث هذا الخطأ عادةً بعد نجاح مصادقة المستخدم ونجاح Okta في توجيه استجابة المصادقة إلى Adobe.

في Adobe Admin Console، تحقق من صحة ما يلي:

في علامة تبويب الهوية:

  • تأكد من تنشيط النطاق المرتبط.

في علامة تبويب المنتجات:

  • تأكد من أن ارتباط المستخدم باسم المنتج الصحيح وفي النطاق الذي طلبت تهيئته كـ Federated ID.
  • تأكد من أن اسم المنتج له الاستحقاقات الصحيحة التي تم تعيينها له.

في علامة تبويب المستخدمين:

  • تأكد من أن اسم المستخدم للمستخدم في شكل عنوان بريد إلكتروني كامل.

خطأ "تم رفض الوصول" أثناء تسجيل الدخول

خطأ تم رفض الوصول

الأسباب المحتملة لهذا الخطأ:

  • لا يتطابق الاسم الأول أو الاسم الأخير أو عنوان البريد الإلكتروني المرسل في تأكيد SAML مع المعلومات المدخلة في وحدة تحكم الإدارة.
  • لا يرتبط المستخدم بالمنتج الصحيح، أو لا يرتبط المنتج بالاستحقاق الصحيح.
  • سيظهر اسم مستخدم SAML كشيء آخر غير عنوان بريد إلكتروني. يجب أن يكون جميع المستخدمين في النطاق الذي طالبت به كجزء من عملية الإعداد.
  • يستخدم عميل SSO لديك Javascript كجزء من عملية تسجيل الدخول، وتحاول تسجيل الدخول إلى عميل لا يدعم Javascript (مثلCreative Cloud Packager).

كيفية الحل:

  • تحقق من تهيئة لوحة التحكم للمستخدم: معلومات المستخدم وتهيئة المنتج.
  • قم بتشغيل تتبع SAML وتحقق من تطابق المعلومات التي يتم إرسالها للوحة المعلومات، ثم قم بتصحيح أي تناقض.

خطأ "يتم تسجيل الدخول حاليًا من قبل مستخدم آخر"

يحدث الخطأ "يتم تسجيل الدخول حاليًا من قبل مستخدم آخر" عندما لا تتطابق السمات المرسلة في تأكيد SAML عنوان البريد الإلكتروني المستخدم لبدء عملية تسجيل الدخول.

تحقق من السمات في تأكيد SAML وتأكد من أنها مطابقة تمامًا للمعرف الذي يحاول المستخدم استخدامه، وكذلك مطابقة تامة مع وحدة تحكم الإدارة.

خطأ "فشل إجراء اتصال كمبدأ النظام" أو "فشل إنشاء المستخدم"

يشير الخطأ "فشل إجراء اتصال كمبدأ النظام" (متبوعًا برمز عشوائي) أو "فشل إنشاء المستخدم" إلى مشكلة مع سمات SAML. تأكد من أن حالة أسماء السمات صحيحة (حساس حالة الأحرف، التسمية): الاسم الأول، الأسم الأخير، البريد الإلكتروني. على سبيل المثال، قد يؤدي إنهاء السمة باسم "email" بدلاً من "Email" إلى حدوث هذه الأخطاء.

يمكن أن تحدث هذه الأخطاء أيضًا في حالة عدم احتواء تأكيد SAML على البريد الإلكتروني للمستخدم في Subject > NameId element (عند استخدام متتبع SAML، يجب أن يكون لها تنسيق emailAddress والبريد الإلكتروني الفعلي كنص مثل القيمة).  

إذا كنت بحاجة إلى مساعدة من دعم Adobe، فيُرجى تضمين تتبع SAML.

 

خطأ "لم يتطابق المصدر في استجابة SAML المصدر الذي تمت تهيئته لموفر الهوية"

يختلف مصدر IDP في تأكيد SAML عن ما تم تهيئته في SAML الوارد. ابحث عن الأخطاء المطبعية (مثل http في مقابل https). عند التحقق من جملة مصدر IDP مع نظام SAML للعميل، فإنك تبحث عن تطابق تام مع السلسلة التي قدمتها. هذه المسألة تأتي في بعض الأحيان بسبب وجود شرطة مفقودة في النهاية.

إذا كنت بحاجة إلى مساعدة بشأن هذا الخطأ، فقدم تتبع SAML والقيم التي أدخلتها في لوحة معلومات Adobe.

خطأ "لم يتم التحقق من صحة التوقيع الرقمي في استجابة SAML مع شهادة موفر الهوية"

ملف الشهادة على الأرجح غير صحيح ويحتاج إلى إعادة التحميل. تحدث هذه المشكلة بشكل عام بعد إجراء تغيير ويرجع المسؤول إلى ملف cert غير الصحيح.تحقق أيضًا من نوع التنسيق (يجب أن يكون تنسيق PEM لـ ADFS).

خطأ "الوقت الحالي قبل النطاق الزمني المحدد في شروط التأكيد"

Windows:

إما قم بتصحيح ساعة النظام، أو قم بتعديل قيمة انحراف الوقت.

إعداد وقت النظام:

تحقق من ساعة النظام باستخدام هذا الأمر:

w32tm /query /status

يمكنك تصحيح ساعة النظام على Windows Server مع الأمر التالي:

w32tm /resync

إذا تم ضبط ساعة النظام بشكل صحيح، فقد تحتاج إلى إنشاء مدة تفاوت للفرق بين IdP والنظام الذي يتم المصادقة عليه.

انحراف الساعة

ابدأ بتعيين قيمة الانحراف المسموح به إلى دقيقتين. تحقق مما إذا كنت قادرًا على الاتصال، ومن ثم زيادة أو نقصان القيمة اعتمادًا على النتيجة. العثور على تفاصيل كاملة عن قاعدة معرفة Microsoft.

للتلخيص، من Powershell يمكنك تشغيل الأوامر التالية:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #فقط لمعرفة ما كانت القيم عليه في الأصل
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #عيّن الانحراف إلى دقيقتين

حيث أن "urn:party:sso" يعتبر واحدًا من المعرفات للطرف المعوّل

ملاحظة: يمكنك استخدام Get-ADFSRelyingPartyTrust cmdlet مع عدم وجود معلمات للحصول على جميع الكائنات الثقة للطرف المعوّل.

الأنظمة المعتمدة على UNIX:

تأكد من تعيين ساعة النظام بشكل صحيح، على سبيل المثال، مع الأمر التالي:

ntpdate -u pool.ntp.org

لا يتطابق المستلم المحدد في SubjectConfirmation (تأكيد الموضوع) مع معرف كيان مزود الخدمة

تحقق من السمات لأنها تحتاج إلى مطابقة الحالة التالية تمامًا: الاسم الأول، الاسم الأخير، البريد الإلكتروني. يمكن أن تعني رسالة الخطأ هذه أن إحدى السمات لها حالة خاطئة، مثل "email" بدلاً من "Email". تحقق أيضًا من قيمة المستلم—يجب الرجوع إلى سلسلة ACS.

سلسلة ACS

خطأ 401 بيانات اعتماد غير مصرح بها

يحدث هذا الخطأ عندما لا يدعم التطبيق تسجيل الدخول الموحد ويجب تسجيل الدخول بـ Adobe ID تعتبر Framemaker وRoboHelp وCaptivate أمثلة للتطبيقات مع هذا الشرط.

خطأ "فشل تسجيل دخول SAML الوارد مع رسالة: لا تتضمن استجابة SAML أي تأكيدات"

تحقق من سير عمل تسجيل الدخول. إذا كنت قادرًا على الوصول إلى صفحة تسجيل الدخول على جهاز آخر أو شبكة أخرى ولكن ليس داخليًا، فقد تكون المشكلة سلسلة عامل حظر. أيضًا، قم بتشغيل تتبع SAML وتأكد من أن الاسم الأول واسم العائلة واسم المستخدم كعنوان بريد إلكتروني منسق بشكل صحيح في موضوع SAML.

خطأ 400 طلب غير صحيح/خطأ "حالة طلب SAML لم يكن ناجحًا"/فشل التحقق من صحة شهادة SAML

خطأ 400 طلب غير صحيح

التحقق من إرسال تأكيد SAML الصحيح:

  • تحقق من أن موفر الهوية يمرر السمات التالية (حساسة لحالة الأحرف) في تأكيد SAML: الاسم الأول، اسم العائلة، البريد الإلكتروني. إذا لم يتم تكوين هذه السمات في IdP ليتم إرسالها كجزء من تكوين موصل SAML 2.0، فلن تعمل المصادقة.
  • لا يوجد عنصر NameID في الموضوع. تحقق من أن عنصر الموضوع يحتوي على عنصر NameId. يجب أن يكون مساويًا لسمة البريد الإلكتروني، والتي يجب أن تكون عنوان البريد الإلكتروني للمستخدم الذي تريد المصادقة عليه.
  • أخطاء إملائية، خاصة تلك التي يتم تجاهلها بسهولة مثل https في مقابل http.
  • تحقق من أنه تم تقديم الشهادة الصحيحة. يجب تهيئة ملفات IDP لاستخدام طلبات/استجابات SAML غير المضغوطة. يعمل Okta Inbound SAML Protocol فقط مع الإعدادات غير المضغوطة (وليس الإعدادات المضغوطة).

يُمكن أن تساعد أداة مثل متتبع SAML الخاص بـ Firefox في فك التأكيد وعرضه للتحقق. إذا كنت بحاجة إلى مساعدة من دعم Adobe، فستتم مطالبتك بهذا الملف.

قد يساعد مثال العمل التالي في التنسيق الصحيح لتأكيد SAML:

تنزيل

مع Microsoft ADFS:

  1. يجب أن يكون لكل حساب Directory نشط عنوان بريد إلكتروني مدرج في Directory نشط لتسجيل الدخول بنجاح (سجل الأحداث: لا تحتوي استجابة SAML على NameId في التأكيد). حاول القيام بهذا أولاً.
  2. الوصول إلى لوحة المعلومات.
  3. انقر فوق علامة تبويب الهوية والنطاق.
  4. انقر فوق تحرير التهيئة.
  5. حدد موقع رابط IDP. قم بالتحويل إلى HTTP-POST ثم قم بالحفظ. 
  6. أعد اختبار تجربة تسجيل الدخول.
  7. إذا كانت تعمل ولكن كنت تفضل الإعداد المسبق، ببساطة قم بالتحويل مرة أخرى إلى HTTP-REDIRECT وأعد تحميل البيانات التعريفية في ADFS.

العمل على ملفات IdP:

  1. يشير الخطأ 400 إلى أنه تم رفض تسجيل دخول ناجح من قبل IdP.
  2. تحقق من سجلات IdP الخاصة بك لمصدر الخطأ.
  3. قم بتصحيح المشكلة وحاول مرة أخرى.

تكوين Microsoft ADFS

راجع دليل خطوة بخطوة لتكوين Microsoft ADFS.

إذا كان لدى عميل Mac نافذة فارغة في Creative Cloud، فتأكد من أن عامل مستخدم "Creative Cloud" موثوق به.

تكوين Microsoft Azure

راجع دليل خطوة بخطوة لتكوين Microsoft Azure.

تكوين OneLogin

راجع دليل خطوة بخطوة لتكوين OneLogin.

تكوين Okta

راجع دليل خطوة بخطوة لتكوين Okta.

تم ترخيص هذا العمل بموجب الترخيص العام غير المعدل الخاص بالإسناد وعدم التجارة والمشاركة الإصدار 3.0 ‏من ‏‏Creative Commons‏‏  إن بنود Creative Commons لا تشمل منشورات Twitter™‎ وFacebook.

إشعارات قانونية   |   سياسة الخصوصية على الإنترنت