Handboek Annuleren

Aanmeldingsfouten met Federated ID (SSO) oplossen

Los veelvoorkomende authenticatiefouten op, verifieer configuraties en corrigeer inlogproblemen met betrekking tot Federated ID (SSO) in Adobe-producten. Ontvang tips om SAML-fouten, certificaatproblemen en andere authenticatieproblemen op te lossen.

Opmerking:

Raadpleeg de volgende artikelen als je organisatie SSO heeft ingesteld via Google Federation of Microsoft Azure Sync:

Overzicht

Nadat je SSO hebt geconfigureerd in Adobe Admin Console, selecteer je Metagegevensbestand van Adobe downloaden en sla je het SAML-XML-metagegevensbestand op je computer op. Je identiteitsprovider heeft dit bestand nodig om eenmalige aanmelding mogelijk te maken. Importeer de XML-configuratiegegevens correct in je identiteitsprovider (IdP). Dit is vereist voor SAML-integratie met je IdP en zorgt dat de gegevens goed worden geconfigureerd.

Als je vragen hebt over het gebruik van het SAML-XML-metagegevensbestand om je IdP te configureren, neem dan rechtstreeks contact op met je IdP voor instructies, die per IdP verschillen.

Metagegevensbestand van Adobe downloaden

Eenvoudige probleemoplossing

Problemen met eenmalige aanmelding worden vaak veroorzaakt door basale fouten die gemakkelijk over het hoofd worden gezien. Controleer in het bijzonder het volgende:

  • De gebruiker is toegewezen aan een productprofiel met een gebruiksrecht.
  • De gebruikersnaam die naar SAML wordt verzonden, komt overeen met de gebruikersnaam in het ondernemingsdashboard.
  • Controleer alle vermeldingen in de Admin Console en bij je identiteitsprovider op spel- of syntaxisfouten.
  • De Creative Cloud desktop-app is bijgewerkt naar de nieuwste versie.
  • De gebruiker meldt zich aan op de juiste plek (Creative Cloud desktop-app, een Creative Cloud-applicatie of Adobe.com)

Oplossingen voor andere veel voorkomende fouten

Fout: 'Er is een fout opgetreden' met de knop 'Opnieuw proberen'

Deze fout treedt meestal op nadat de gebruikersverificatie is gelukt en Okta de verificatierespons heeft doorgestuurd naar Adobe.

Controleer het volgende in de Adobe Admin Console:

Op het tabblad Identiteit:

  • Zorg ervoor dat het bijbehorende domein is geactiveerd.

Op het tabblad Producten:

  • Zorg ervoor dat de gebruiker is gekoppeld aan de juiste bijnaam van het product en aan het geclaimde domein is gekoppeld als Federated ID.
  • Zorg ervoor dat de juiste rechten zijn toegewezen aan de bijnaam van het product.

Op het tabblad Gebruikers:

  • Zorg ervoor dat de gebruikersnaam van de gebruiker de vorm heeft van een volledig e-mailadres.

Fout: 'Toegang geweigerd' tijdens het aanmelden

Mogelijke oorzaken van deze fout:

  • De gebruikersnaam die of het e-mailadres dat wordt verzonden in de SAML-bevestiging, komt niet overeen met de gegevens die zijn ingevoerd in de Admin Console.
  • De gebruiker is niet aan het juiste product gekoppeld of het product is niet aan het juiste recht gekoppeld.
  • De SAML-gebruikersnaam is geen e-mailadres. Alle gebruikers moeten zich bevinden in het domein dat je tijdens de configuratie hebt geclaimd.
  • Je SSO-client gebruikt JavaScript als onderdeel van het aanmeldingsproces en je probeert je aan te melden bij een client die geen JavaScript ondersteunt.

Hoe je dit kunt oplossen:

  • Controleer de gebruikersnaam en het e-mailadres in de Adobe Admin Console en stem de waarde af met het NameID- en Email-kenmerk in de SAML-logboeken.
  • Controleer de dashboardconfiguratie voor de gebruiker: gebruikersgegevens en productprofiel.
  • Voer een SAML-trace uit en controleer of de gegevens die worden verzonden overeenkomen met het dashboard. Corrigeer vervolgens eventuele inconsistenties.

Fout: 'Er is al een andere gebruiker aangemeld'

De fout 'Er is al een andere gebruiker aangemeld' treedt op wanneer de kenmerken die in de SAML-bevestiging worden verzonden, niet overeenkomen met het e-mailadres dat is gebruikt om het inlogproces te starten.

Voer een SAML trace uit en zorg ervoor dat het e-mailadres van de gebruiker voor aanmelding overeenkomt met het volgende:

  • Het e-mailadres van de gebruiker in de Admin Console
  • De gebruikersnaam van de gebruiker die wordt doorgegeven aan het veld NameID van de SAML-bevestiging

Fout: 'De uitgever in het SAML-antwoord komt niet overeen met de uitgever die is geconfigureerd voor de identiteitsprovider'

De IdP-uitgever in de SAML-bevestiging verschilt van wat is geconfigureerd in de inkomende SAML. Let op typfouten (zoals http versus https). Wanneer je de tekenreeks voor de IdP-uitgever controleert in het SAML-systeem van de klant, zoek je naar een EXACTE overeenkomst met de opgegeven tekenreeks. Dit probleem doet zich soms voor omdat er aan het einde een schuine streep ontbreekt.

Als je hulp nodig hebt bij deze fout, verstrek je een SAML-trace en de waarden die je in het Adobe-dashboard hebt ingevoerd.

Fout: 'De digitale handtekening in het SAML-antwoord is niet gevalideerd met het certificaat van de identiteitsprovider'

Dit probleem treedt op wanneer het certificaat van je directory is verlopen. Als je het certificaat wilt bijwerken, moet je het certificaat of de metagegevens downloaden van de identiteitsprovider en deze uploaden naar de Adobe Admin Console.

Volg bijvoorbeeld de onderstaande stappen als je IdP Microsoft AD FS is:

  1. Open de applicatie Beheer van AD FS op de server en selecteer Federatieve metagegevens in de map AD FS > Service > Eindpunten.

  2. Navigeer in een browser naar de URL die is opgegeven voor Federatieve metagegevens en download het bestand. Bijvoorbeeld https://<je AD FS-hostnaam>/FederationMetadata/2007-06/FederationMetadata.xml.

    Opmerking:

    Accepteer eventuele waarschuwingen die worden weergegeven.

  3. Ga op het tabblad Instellingen van de Admin Console naar IdentiteitsinstellingenDirectory's. Selecteer de directory die je wilt bijwerken en klik op Configureren op de kaart SAML-provider.

    Upload vervolgens het IdP-metagegevensbestand en kies Opslaan.

Fout: 'De huidige tijd ligt vóór het tijdsbereik dat is opgegeven in de voorwaarden van de bevestiging'

Op Windows gebaseerde IdP-server:

1. Zorg ervoor dat de systeemklok is gesynchroniseerd met een accurate tijdserver.

Controleer de nauwkeurigheid van de systeemklok met de tijdserver met de volgende opdracht, waarbij de waarde 'Phase Offset' een fractie van een seconde moet zijn:

w32tm /query /status /verbose

Met de volgende opdracht kun je een directe synchronisatie van de systeemklok met de tijdserver uitvoeren:

w32tm /resync

Als de systeemklok correct is ingesteld en je nog steeds de bovenstaande fout ziet, moet je mogelijk de instelling voor tijdverschil aanpassen om de tolerantie voor het verschil tussen de klokken van de server en de client te vergroten.

2. Vergroot het toegestane verschil in de systeemklok tussen de servers.

Stel vanuit een Powershell-venster met beheerdersrechten de toegestane waarde voor het verschil in op 2 minuten. Controleer of je je kunt aanmelden en verhoog of verlaag de waarde, afhankelijk van het resultaat.

Bepaal de huidige instelling voor tijdverschil voor de relevante vertrouwensrelatie van de relying party met de volgende opdracht:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

De vertrouwensrelatie van de relying party wordt aangegeven door de URL in het veld 'Identifier' van de uitvoer van de vorige opdracht voor die specifieke configuratie. Deze URL wordt ook weergegeven in het hulpprogramma Beheer van AD FS, in het veld 'Vertrouwensrelaties van relying party' op het tabblad 'Id's' in het eigenschappenvenster voor de desbetreffende vertrouwensrelatie van de relying party, zoals weergegeven in de onderstaande schermafbeelding.

Gebruik de volgende opdracht om het tijdverschil in te stellen op 2 minuten, waarbij je het het adres bij Identifier dienovereenkomstig aanpast:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

Op UNIX gebaseerde IdP-server

Zorg ervoor dat de systeemklok correct is ingesteld met behulp van de ntpd-service of handmatig met de opdracht ntpdate vanuit een rootshell of met sudo, zoals hieronder wordt weergegeven. (Merk op dat als de tijd meer dan een 0,5 seconde wordt verschoven, de wijziging niet direct plaatsvindt, maar de systeemklok langzaam wordt gecorrigeerd.) Controleer of de tijdzone ook correct is ingesteld.

# ntpdate -u pool.ntp.org

Opmerking:

Dit werkt met identiteitsproviders zoals Shibboleth.

Fout: 401 ongeautoriseerde referenties

Deze fout treedt op wanneer de applicatie geen federatieve login ondersteunt en de gebruiker moet zijn aangemeld met een Adobe ID. FrameMaker, RoboHelp en Adobe Captivate zijn voorbeelden van applicaties met deze vereiste.

Fout: 'Inkomende SAML-login mislukt met bericht: De SAML-reactie bevat geen bevestigingen'

​Controleer de aanmeldingsworkflow. Als je toegang hebt tot de aanmeldingspagina op een andere computer of in een ander netwerk, maar niet intern, kan een agenttekenreeks de toegang mogelijk blokkeren.  Voer een SAML-trace uit en controleer of het SAML-onderwerp de voornaam, achternaam en gebruikersnaam als een correct ingedeeld e-mailadres bevat.

Fout: '400 ongeldig verzoek' of 'Het SAML-verzoek is mislukt' of 'Validatie van SAML-certificering mislukt'

Controleer of de juiste SAML-bevestiging wordt verzonden:

  • Het onderwerp bevat het element NameID niet. Controleer of het element Subject het element NameId bevat. Dit moet gelijk zijn aan het kenmerk Email, dat het e-mailadres moet zijn van de gebruiker die je wilt verifiëren.
  • Spelfouten, met name fouten die gemakkelijk over het hoofd worden gezien, zoals https vs http.
  • Controleer of het juiste certificaat is verstrekt. IdP's moeten worden geconfigureerd om niet-gecomprimeerde SAML-verzoeken/-antwoorden te gebruiken.

Met een hulpprogramma zoals SAML Tracer voor Firefox kan de bevestiging worden uitgepakt en ter controle worden weergegeven. Als je hulp nodig hebt van de klantenservice van Adobe, word je om dit bestand gevraagd. Zie Een SAML-trace uitvoeren voor meer informatie.

Het volgende voorbeeld kan je helpen bij een correcte indeling van de SAML-bevestiging:

Downloaden

Met Microsoft ADFS:

  1. Elk Active Directory-account moet een e-mailadres hebben dat in Active Directory staat vermeld om zich te kunnen aanmelden (gebeurtenislogbestand: Het SAML-antwoord heeft geen NameId in de bevestiging). Controleer dit eerst.
  2. Ga naar het dashboard.
  3. Klik op het tabblad Identiteit en op het domein.
  4. Klik op Configuratie bewerken.
  5. Zoek IdP-binding. Schakel over naar HTTP-POST en sla op. 
  6. Test het aanmelden opnieuw.
  7. Als het werkt, maar je de voorkeur geeft aan de eerdere instelling, schakel je eenvoudig terug naar HTTP-REDIRECT en upload je de metagegevens opnieuw naar ADFS.

Met andere IdP's:

  1. Als je fout 400 ondervindt, betekent dit dat een succesvolle aanmelding is geweigerd door je IdP.
  2. Controleer de logbestanden van je IdP voor de oorzaak van de fout.
  3. Verhelp het probleem en probeer het opnieuw.

Fout: '403 defect certificaat'

Fout: '403 app_not_configured_for_user'

Werk de entiteits-ID bij in de Google-console. Exporteer vervolgens het metadatabestand en upload het naar Adobe Admin Console.

Fout: 'Je hebt hier nu geen toegang toe' of 'Je kunt er vanaf hier niet komen'

Deze fout treedt meestal op wanneer de organisatie het voorwaardelijke beleid 'Access in IdP' heeft ingeschakeld.

Als je beheerde pakketten gebruikt om producten te implementeren, maak dan een beheerd pakket via Adobe Admin Console door de browsergebaseerde authenticatieoptie te selecteren. Implementeer dit vervolgens op het apparaat van de gebruiker.

Als je geen beheerde pakketten gebruikt, kunnen de gebruikers de Creative Cloud Desktop-applicatie openen en Aanmelden via je browser selecteren in het menu Help.

Fout: 'App niet toegewezen'

In dit geval moet de beheerder de gebruikers toevoegen aan de Adobe SAML-app die op hun IdP is gemaakt. Leer hoe je een Adobe SAML-app maakt op Google Admin Console of Microsoft Azure Portal.

Fout: 'Je hebt geen toegang tot deze service.' Neem contact op met je IT-beheerder om toegang te krijgen of meld je aan met een Adobe ID.'

Controleer de SAML logboekgegevens, aangezien de gebruikersnaam of het e-mailadres dat wordt verzonden in de SAML-bevestiging, niet overeenkomt met de gegevens die zijn ingevoerd in de Admin Console.

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?