No se puede iniciar sesión en los productos, servicios o aplicaciones móviles de Adobe mediante Federated ID (SSO): Solución de errores

Nota:

Este artículo no se aplica a las configuraciones de SSO con Google Federation o Microsoft Azure Sync.

Si su organización ha configurado SSO a través de alguno de estos conectores, consulte los siguientes artículos:

Información general

Después de configurar con éxito SSO dentro de Adobe Admin Console, asegúrese de haber hecho clic en Descargar archivo de metadatos de Adobe y guardado el archivo de metadatos XML de SAML en su equipo. El proveedor de identidades necesita este archivo para habilitar el inicio de sesión único. Debe importar los detalles de configuración de XML correctamente en su proveedor de identidades (IdP). Esto es necesario para la integración de SAML con su IdP y garantizará que los datos estén configurados correctamente.

Los siguientes son algunos problemas de configuración habituales:

  • El certificado está en un formato que no es PEM.
  • El certificado tiene una extensión que no es .cer. o .pem, y .cert no funciona.
  • El certificado está cifrado.
  • El certificado está en formato de una sola línea. Se requiere multilínea.
  • La verificación de revocación de certificados está activada (actualmente no se admite).
  • El emisor de IdP en SAML no es el mismo que el especificado en Admin Console (por ejemplo, error de ortografía, falta de caracteres, https frente a http).

Si tiene preguntas sobre cómo utilizar el archivo de metadatos XML SAML para configurar su IdP, póngase en contacto directamente con su IdP para obtener instrucciones, que varían según el IdP.

Algunos ejemplos de IdP específicos (no es una lista completa; cualquier IdP compatible con SAML 2 funciona):

Okta: tome manualmente la información requerida dentro del archivo XML e introdúzcala en los campos adecuados de la interfaz de usuario para configurar los datos correctamente.

Ping Federate: cargue el archivo XML o introduzca los datos en los campos adecuados de la interfaz de usuario.

Microsoft ADFS: su certificado debe estar en formato PEM, pero el formato predeterminado para ADFS es DER. Puede convertir el certificado utilizando el comando openssl, disponible en OS X, Windows o Linux como se indica a continuación:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Después de realizar el paso anterior, cambie el nombre del certificado .cer.

Asegúrese también de que se utilice el certificado correcto si tiene más de uno; debe ser el mismo que va a firmar las solicitudes. (Por ejemplo, si el certificado de “firma de token” está firmando las solicitudes, ese es el certificado que se debe usar). La verificación de revocación de certificados debe estar desactivada.

Si ha configurado su IdP a su entender, intente una o varias de las siguientes opciones según el error recibido.

Descargar el archivo de metadatos de Adobe

Resolución de problemas básica

Los problemas con el inicio de sesión único a menudo se deben a errores muy básicos que son fáciles de pasar por alto. En particular, verifique lo siguiente:

  • El usuario está asignado a un perfil de producto con un derecho.
  • El nombre, apellido y dirección de correo electrónico del usuario se envían en SAML exactamente como aparecen en el panel de empresa y están presentes en SAML con el etiquetado correcto.
  • Verifique todas las entradas en Admin Console y su proveedor de identidad para ver si hay errores ortográficos o de sintaxis.
  • La aplicación de escritorio de Creative Cloud se ha actualizado a la última versión.
  • El usuario está iniciando sesión en el lugar correcto (aplicación de escritorio de Creative Cloud, aplicación de Creative Cloud o Adobe.com)

Error “Se ha producido un error” con el botón “Reintentar”

Este error suele ocurrir después de que la autenticación del usuario se haya realizado correctamente y Okta haya enviado correctamente la respuesta de autenticación a Adobe.

En Adobe Admin Console, valide lo siguiente:

En la pestaña Identidad:

  • Asegúrese de que se haya activado el dominio asociado.

En la pestaña Productos:

  • Asegúrese de que el usuario esté asociado al sobrenombre del producto correcto y en el dominio que afirmó estar configurado como Federated ID.
  • Asegúrese de que el alias del producto tenga asignados los derechos correctos.

En la pestaña Usuarios:

  • Asegúrese de que el nombre del usuario tenga el formato de una dirección de correo electrónico completa.

Error “Access denegado” al iniciar sesión

Posibles causas de este error:

  • El nombre, apellido o dirección de correo electrónico que se envía en la afirmación SAML no coincide con la información introducida en Admin Console.
  • El usuario no está asociado con el producto correcto o el producto no está asociado con el derecho correcto.
  • El nombre de usuario de SAML aparece como algo más que una dirección de correo electrónico. Todos los usuarios deben estar en el dominio que ha formado parte del proceso de configuración.
  • Su cliente SSO utiliza JavaScript como parte del proceso de inicio de sesión y está intentando iniciar sesión en un cliente que no es compatible con JavaScript (como Creative Cloud Packager).

Cómo resolverlo:

  • Verifique la configuración del panel del usuario: información del usuario y perfil del producto.
  • Ejecute un seguimiento de SAML y valide que la información que se envía coincida con el panel, y luego corrija las incoherencias.

Error “Otro usuario está conectado actualmente”

El error “otro usuario está conectado actualmente” ocurre cuando los atributos enviados en la aserción SAML no coinciden con la dirección de correo electrónico que se utilizó para iniciar el proceso de inicio de sesión.

Compruebe y asegúrese de que la dirección de correo electrónico del usuario para iniciar sesión coincida con lo siguiente:

  • La dirección de correo electrónico del usuario aparece en Admin Console
  • El nombre del usuario se pasó de nuevo al campo NameID de la aserción de SAML

Error “Error al hacer una llamada como el sistema principal” o “error de creación de usuario”

El error “Error al hacer una llamada como el sistema principal” (seguido de un código aleatorio) o “error de creación de usuario” indica un problema con los atributos de SAML: FIrstName, LastName y Email. Asegúrese de que los nombres de los atributos sean correctos (distinción entre mayúsculas y minúsculas, nombres, etc.). Por ejemplo, terminar el atributo como email en vez de Email puede causar estos errores.

Estos errores pueden suceder también si la aserción SAML no contiene el correo electrónico del usuario en Sujeto > elemento NameId (al utilizar el seguidor de SAML, debiera tener el formato siguiente: emailAddress y el correo electrónico real en forma de texto como valor).  

Si necesita apoyo de Asistencia técnica de Adobe, incluya un seguimiento SAML.

 

Error “El emisor en la respuesta de SAML no coincide con el emisor configurado para el proveedor de identidades”

El emisor de IDP en la aserción de SAML es diferente de lo configurado en el SAML entrante. Busque errores tipográficos (como http vs https). Al verificar la cadena IDP Issuer con el sistema SAML del cliente, está buscando una coincidencia EXACTA con la cadena que proporcionaron. Este problema surge a veces porque faltaba una barra al final.

Si necesita ayuda con este error, proporcione un seguimiento SAML y los valores que introdujo en el panel de Adobe.

Error “La firma digital en la respuesta de SAML no se validó con el certificado del proveedor de identidades”

Este problema ocurre cuando el certificado de su directorio ha expirado. Para actualizar el certificado, debe descargar el certificado o los metadatos del proveedor de identidades y cargarlo en Adobe Admin Console.

Por ejemplo, siga los pasos a continuación si su IdP es Microsoft AD FS:

  1. Abra la aplicación de administración de AD FS en su servidor y dentro de la carpeta AD FS > Servicio > Terminales, seleccione Metadatos de federación.

    Ubicación de metadatos

  2. Utilice un explorador para navegar hasta la URL proporcionada con los metadatos de federación y descargue el archivo. Por ejemplo, https://<su nombrehost de AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Nota:

    Acepte las advertencias si se le solicita.

  3. Inicie sesión en Adobe Admin Console y vaya a Configuración Identidad > Directorios. Seleccione el directorio que actualizar y haga clic en  Configurar en la tarjeta de Proveedor de SAML.

    Luego, cargue el archivo de metadatos IdP y haga clic en Guardar.

Precaución:

A partir del 31 de octubre de 2020, Adobe dejará de ofrecer compatibilidad de los certificados piloto obsoletos de SHA-1 y SHA-256 con directorios federados en la Adobe Admin Console. Será necesario migrar cualquier directorio con un icono de advertencia.

Para pasar al nuevo directorio de certificados SHA-2, solo tiene que seleccionar el directorio, hacer clic en Editar y seguir el procedimiento de migración para migrarlo.

Si aún desea actualizar su archivo de certificado que ha caducado o es incorrecto, siga los pasos dados para volver a cargar un certificado actualizado para su SSO con el directorio Microsoft AD FS:

  1. Abra la aplicación de administración de AD FS de Microsoft en su servidor y dentro de la carpeta AD FS -> Servicio -> Certificados, seleccione Inicio de sesión mediante token.

    Nota:

    El certificado de firma de token tiene la fecha de vencimiento indicada. Una vez que caduque, renueve el certificado, descárguelo y cárguelo nuevamente en Adobe Admin Console.

  2. Para abrir la ventana de propiedades del certificado, haga clic en Ver certificado

  3. En la ficha Detalles, haga clic en Copiar en archivo y utilice el asistente para guardar el certificado como Base-64 encoded X. 509 (.CER) (esto equivale a un certificado en formato PEM). Este formato es equivalente a un certificado en formato PEM.

  4. Inicie sesión en Adobe Admin Console y vaya a Configuración > Identidad > Directorios > Seleccione el directorio que desea actualizar.

  5. Haga clic/toque Editar en la tarjeta del proveedor de SAML. Actualice los detalles del nuevo certificado en la ventana Editar configuración de SAML.

Es muy probable que el archivo de certificado sea incorrecto y tenga que cargarse de nuevo. Este problema generalmente ocurre después de que se ha realizado un cambio y el administrador hace referencia al archivo de certificado incorrecto. Compruebe también el tipo de formato (debe ser formato PEM para ADFS).

Error “La hora actual es anterior al intervalo de tiempo especificado en las condiciones de afirmación”

Servidor IdP basado en Windows:

1. Asegúrese de que el reloj del sistema esté sincronizado con un servidor de hora preciso

Verifique la precisión del reloj del sistema con su servidor de hora con este comando; el valor de “Desplazamiento de fase” debe ser una pequeña fracción de segundo:

w32tm /query /status /verbose

Puede provocar una resincronización inmediata del reloj del sistema con el servidor de hora con el siguiente comando:

w32tm /resync

Si el reloj del sistema está configurado correctamente y sigue viendo el error anterior, es posible que deba ajustar la configuración de desviación de hora para aumentar la tolerancia de la diferencia entre relojes entre el servidor y el cliente.

2. Aumente la diferencia permitida en el reloj de sistema entre servidores.

Desde una ventana de Powershell con derechos administrativos, establezca el valor de desviación permitido en 2 minutos. Compruebe si puede iniciar sesión y luego aumente o disminuya el valor en función del resultado.

Determine la configuración actual de desviación de hora para la Relación de confianza para usuario autenticado con el siguiente comando:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

La relación de confianza para usuario autenticado se identifica mediante la URL que se muestra en el campo “Identificador” del resultado del comando anterior para esa configuración en particular. Esta URL también se muestra en la utilidad ADFS Management en la ventana de propiedades de Relación de confianza para usuario autenticado en la pestaña “Identificadores” en el campo “Relación de confianza para usuario autenticado”, como se muestra en la captura de pantalla que se incluye a continuación.

Establezca la desviación de tiempo en 2 minutos con el siguiente comando, sustituyendo la dirección del identificador en consecuencia:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

Servidor IdP basado en UNIX

Asegúrese de que el reloj del sistema esté configurado correctamente, ya sea utilizando el servicio ntpd, o manualmente con el comando ntpdate desde un shell raíz o con sudo como se muestra a continuación (tenga en cuenta que si el tiempo se altera en más de 0,5 segundos, el cambio no se producirá inmediatamente, pero corregirá lentamente el reloj del sistema). Asegurarse de que la zona horaria esté configurada correctamente.

# ntpdate -u pool.ntp.org

Nota:

Esto funciona con proveedores de identidades como Shibboleth.

El destinatario especificado en SubjectConfirmation no coincidía con nuestro ID de entidad de proveedor de servicios

Verifique los atributos porque deben coincidir exactamente con los siguientes: FirstName, LastName, Email. Este mensaje de error puede significar que uno de los atributos tiene el caso incorrecto, como “email” en lugar de “Email”. Compruebe también el valor del destinatario; debe hacer referencia a la cadena ACS.

Cadena ACS

Error 401 credenciales no autorizadas

Este error se produce cuando la aplicación no admite el inicio de sesión federado y debe iniciar sesión como un Adobe ID. FrameMaker, RoboHelp y Captivate son ejemplos de aplicaciones con este requisito.

Error “Error de inicio de sesión de SAML entrante con mensaje: la respuesta de SAML no contenía aserciones”

Compruebe el flujo de trabajo de inicio de sesión.  Si puede acceder a la página de inicio de sesión en otra máquina o red, pero no internamente, el problema podría ser una cadena de agente de bloqueo.  Además, ejecute un seguimiento SAML y confirme que el nombre, apellido y nombre de usuario como una dirección de correo electrónico con el formato adecuado están en el asunto de SAML.

Error 400 solicitud errónea / Error “El estado de la solicitud no era correcto” / Error de validación en la certificación SAML

Comprobar que se está enviando la aserción SAML adecuada:

  • Compruebe que el proveedor de identidades pasa los siguientes atributos (distingue mayúsculas de minúsculas) en la aserción de SAML: nombre, apellido, correo electrónico. Si estos atributos no están configurados en el IdP para enviarlos como parte de la configuración del conector de SAML 2.0, la autenticación no se procesará correctamente.
  • No tener un elemento NameID en el asunto. Compruebe que el elemento Subject contenga un elemento NameId. Debe ser igual al atributo Email, que debe ser la dirección de correo electrónico del usuario que desea autenticar.
  • Errores ortográficos, en especial los más habituales, como https en vez de http.
  • Compruebe que se proporcionó el certificado correcto. Los IDP deben configurarse para utilizar solicitudes/respuestas de SAML sin comprimir.

Una utilidad como Rastreador de SAML para Firefox puede ayudar a descomprimir la aserción y mostrarla para su inspección. Si necesita ayuda de asistencia técnica de Adobe, se le pedirá este archivo. Para obtener más detalles, consulte cómo realizar un seguimiento de SAML.

El siguiente ejemplo de trabajo puede ayudar a formatear correctamente su aserción SAML:

Descargar

Con Servicios de federación de Active Directory de Microsoft:

  1. Cada cuenta de Active Directory debe tener una dirección de correo electrónico incluida en Active Directory para iniciar sesión correctamente (registro de eventos: La respuesta SAML no tiene NameId en la aserción). Compruebe esto primero.
  2. Acceda al panel
  3. Haga clic en la pestaña Identidad y el dominio.
  4. Haga clic en Editar configuración.
  5. Localice la vinculación IDP. Cambie a HTTP-POST y luego guarde. 
  6. Vuelva a probar la experiencia de inicio de sesión.
  7. Si funciona, pero prefiere la configuración anterior, simplemente vuelva a HTTP-REDIRECT y vuelva a cargar los metadatos en ADFS.

Con otros IdP:

  1. Encontrarse con el error 400 significa que su IdP rechazó un inicio de sesión correcto.
  2. Compruebe los registros de IdP para ver el origen del error.
  3. Corrija el problema y vuelva a intentarlo.
Logotipo de Adobe

Inicia sesión en tu cuenta