Overzicht

Wanneer u probeert zich aan te melden bij Adobe-producten of -services of mobiele apps met een Federated ID (SSO), ontvangt u een van de volgende foutberichten.

Nadat u SSO hebt geconfigureerd in de Adobe-beheerconsole, moet u zorgen dat u op Metagegevens downloaden hebt geklikt en het SAML XML Metadata-bestand naar uw computer hebt opgeslagen.Uw id-provider heeft dit bestand nodig om eenmalige aanmelding in te schakelen.U moet de XML-configuratiedetails goed importeren in uw id-provider (IdP). Dit is vereist voor SAML-integratie met uw IdP en zorgt dat de gegevens goed worden geconfigureerd.

Hieronder volgen enkele veelvoorkomende configuratieproblemen:

  • Certificaat heeft een andere indeling dan PEM.
  • Certificaat heeft een andere extensie dan .cer. De extensies .pem en .cert werken niet.
  • Certificaat is versleuteld.
  • Het certificaat heeft een indeling met één regel. Er zijn meerdere regels vereist.
  • Verificatie van certificaatintrekking is ingeschakeld (momenteel niet ondersteund).
  • IdP-verlener in de SAML is niet hetzelfde als is opgegeven in de beheerconsole (bijvoorbeeld spelfout, ontbrekende tekens, https in plaats van http).

Als u vragen hebt over hoe u het SAML XML Metadata-bestand gebruikt om uw IdP te configureren, neemt u rechtstreeks contact met uw IdP op voor instructies, die per IdP variëren.

Enkele voorbeelden voor specifieke IdP's (geen uitgebreide lijst: een willekeurige SAML 2-volgzame IdP werkt):

Okta: haalt de vereiste informatie handmatig uit het XML-bestand en plaatst deze in de juiste UI-velden om de gegevens goed te configureren.

Ping Federate: upload het XML-bestand of voer de gegevens in de juiste UI-velden in.

Microsoft ADFS: Uw certificaat moet de PEM-indeling hebben, maar de standaardindeling voor ADFS is DER. U kunt het certificaat als volgt via de opdracht openssl, beschikbaar op OS X, Windows of Linux, converteren:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Nadat u de bovenstaande stap hebt uitgevoerd, wijzigt u de naam van certificate.cer.

Zorg ook dat het juiste certificaat wordt gebruikt als u er meer dan een hebt; het moet hetzelfde certificaat zijn dat wordt gebruikt om de aanvragen te ondertekenen. (Als het certificaat voor het ondertekenen van tokens wordt gebruikt voor het ondertekenen van de aanvragen, moet u dit certificaat gebruiken.) Verificatie van certificaatintrekking moet worden uitgeschakeld.

Als u uw IdP naar beste weten hebt geconfigureerd, probeert u een of meer van de volgende oplossingen, afhankelijk van de weergegeven foutmelding.

Downloadkoppeling voor metagegevens

Problemen oplossen - basis

Problemen met eenmalige aanmelding worden vaak veroorzaakt door kleine fouten die gemakkelijk over het hoofd worden gezien. Controleer met name het volgende:

  • De gebruiker is toegewezen aan een productconfiguratie met een recht.
  • De voor- en achternaam en het e-mailadres van de ebruiker worden verzonden in SAML exact zoals ze worden weergegeven in het Enterprise-dashboard, en staan met de juiste labels in de SAML.
  • Controleer alle ingangen in de beheerconsole en uw id-provider op spel- of syntaxisfouten.
  • De Creative Cloud-desktopapp is bijgewerkt naar de nieuwste versie.
  • De gebruiker meldt zich aan op de juiste locatie (CC-desktopapp, CC-toepassing of adobe.com)

Fout: Er heeft zich een fout voorgedaan met de knop Opnieuw proberen

Er is een fout opgetreden - OPNIEUW PROBEREN

Deze fout treedt meestal op nadat de gebruiker is geverifieerd en Okta de verificatiereactie naar Adobe heeft gestuurd.

In de Adobe-beheerconsole valideert u het volgende:

Op het tabblad Identiteit:

  • Zorg dat het gekoppelde domein is geactiveerd.

Op het tabblad Producten:

  • Zorg dat de gebruiker is gekoppeld aan de juiste productbijnaam en in het domein dat u hebt geclaimd om te worden geconfigureerd als Federated ID.
  • Zorg dat de juiste rechten aan de productbijnaam zijn toegewezen.

Op het tabblad Gebruikers:

  • Zorg dat de gebruikersnaam uit een volledig e-mailadres bestaat.

Fout: 'Toegang geweigerd' tijdens aanmelden

Fout: 'Toegang geweigerd'

Mogelijke oorzaken van deze foutmelding:

  • De voor- en achternaam of het e-mailadres dat in de SAML-verklaring wordt verzonden, komt niet overeen met de informatie die in de Beheerconsole is ingevoerd.
  • De gebruiker is niet aan het juiste product gekoppeld of het product is niet gekoppeld aan de juiste machtiging.
  • De SAML-gebruikersnaam komt door als iets anders dan een e-mailadres. Alle gebruikers moeten voorkomen in het domein dat u als deel van de set-up hebt geclaimd.
  • Uw SSO-client maakt gebruik van Javascript als deel van het aanmeldingsproces, en u probeert u aan te melden bij een client die geen JavaScript ondersteunt (zoals Creative Cloud Packager).

Oplossingen:

  • Verifieer de dashboardconfiguratie voor de gebruiker: gebruikersinformatie en productconfiguratie.
  • Voer een SAML-tracering uit en valideer dat de informatie die wordt verstuurd, overeenkomt met het dashboard. Corrigeer eventuele inconsistenties.

Fout: Een andere gebruiker is momenteel aangemeld

De foutmelding Een andere gebruiker is momenteel aangemeld wordt weergegeven wanneer de attributen die in de SAML-verklaring worden verstuurd, niet overeenkomen met het e-mailadres dat is gebruikt om het aanmeldingsproces te starten.

Controleer de attributen in de SAML-verklaring en zorg dat ze precies overeenkomen met de ID die de gebruiker probeert te gebruiken, evenals met de Beheerconsole.

Fout: 'Kan geen aanroep doen als het systeemprincipe' of 'Kan geen gebruiker maken'

De fout 'Kan geen aanroep doen als het systeemprincipe' (gevolgd door een willekeurige code) of 'Kan geen gebruiker maken' duidt op een probleem met de SAML-attributen.Zorg dat de namen van de attributen de juiste hoofdletters/kleine letters bevatten (hoofdlettergevoelig, benaming): FirstName, LastName, Email. Als u het attribuut bijvoorbeeld met 'email' eindigt in plaats van 'Email', kunnen deze problemen optreden.

Deze problemen kunnen zich ook voordoen als de SAML-verklaring niet het e-mailadres van de gebruiker in het element Onderwerp > Naam-ID bevat (wanneer u SAML Tracer gebruikt, moet u de indeling emailAdres en het werkelijke e-mailadres als tekst als waarde gebruiken).  

Als u hulp nodig hebt van Adobe-ondersteuning, is het raadzaam een SAML-tracering op te nemen.

 

Fout: 'De verlener in de SAML-respons komt niet overeen met de verlener die voor de id-provider is geconfigureerd'

IDP-verlener in de SAML-verklaring wijkt af van wat er in de inkomende SAML is geconfigureerd. Let op typefouten (zoals http in plaats van https). Wanneer u de tekenreeks van de IDP-verlener controleert met het SAML-systeem van de klant, zoekt u naar een EXACTE overeenkomst met de tekenreeks die is verstrekt. Dit probleem doet zich soms voor omdat er een slash aan het eind ontbreekt.

Als u hulp nodig hebt bij dit probleem, verstrekt u een SAML-tracering en de waarden die u in het Adobe-dashboard hebt ingevoerd.

Fout: 'De digitale handtekening in de SAML-respons komt niet overeen met het certificaat van de id-provider'

Het certificaatbestand is hoogstwaarschijnlijk onjuist en moet opnieuw worden geüpload. Dit probleem doet zich meestal voor als er een wijziging is aangebracht en de beheerder naar het onjuiste certificaatbestand verwijst.Controleer ook het indelingstype (moet PEM-indeling voor ADFS zijn).

Fout: 'De huidige tijd valt voor het tijdbereik dat in de verklaringsvoorwaarden is opgegeven'

Windows:

Corrigeer de systeemklok of pas de waarde voor de tijdverschuiving aan.

Systeemtijd instellen:

Controleer de systeemklok met deze opdracht:

w32tm /query /status

U kunt de systeemklok op Windows Server corrigeren met de volgende opdracht:

w32tm /resync

Als de systeemklok goed is ingesteld, moet u mogelijk de tolerantie maken voor een verschil tussen de IdP en het systeem waarmee wordt geverifieerd.

Klokverschuiving

Stel de toegestane verschuivingswaarde om te beginnen op 2 minuten. Controleer of u verbinding kunt maken, en verhoog of verlaag de waarde dan afhankelijk van het resultaat. U vindt uitgebreide informatie in de Microsoft Knowledgebase

Via de Powershell kunt u dus de volgende opdrachten uitvoeren:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Om na te gaan wat de oorspronkelijke waarden waren
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Stel de verschuiving in op 2 minuten

waar 'urn:party:sso' een van de id's voor uw relying party is

Opmerking: U kunt Get-ADFSRelyingPartyTrust cmdlet zonder parameters gebruiken om alle vertrouwensobjecten van de relying party op te halen.

UNIX-systemen:

Zorg dat de systeemklok goed is ingesteld, bijvoorbeeld met de volgende opdracht:

ntpdate -u pool.ntp.org

De ontvanger die is opgegeven in SubjectConfirmation, komt niet overeen met de entiteits-ID van onze serviceprovider

Controleer de attributen, omdat die precies overeen moeten komen met de volgende hoofdletters/kleine letters: FirstName, LastName, Email. Dit foutbericht kan betekenen dat een van de attributen niet de juiste hoofdletters/kleine letters heeft, zoals 'email' in plaats van 'Email'. Controleer ook de ontvangerswaarde: er moet naar de ACS-tekenreeks worden verwezen.

ACS-tekenreeks

Fout 401: niet-geautoriseerde verificatiegegevens

Deze fout treedt op wanneer de toepassing niet de Federated-aanmelding ondersteunt en als een Adobe ID moet zijn aangemeld. Framemaker, RoboHelp en Captivate zijn voorbeelden van toepassingen met deze vereiste.

Fout: 'Aanmelding bij inkomende SAML mislukt met bericht: de SAML-respons bevat geen verklaringen'

Controleer de werkstroom van de aanmelding. Als u de aanmeldingspagina op een andere computer of ander netwerk kunt oproepen maar niet intern, kan het probleem een tekenreeks van een blokkeringsagent zijn. Voer ook een SAML-tracering uit en bevestig dat Voornaam, Achternaam en Gebruikersnaam als juist ingedeeld e-mailadres in de SAML-onderwerpregel staan.

Fout 400 ongeldige aanvraag / Fout: 'De status van de SAML-aanvraag is niet geslaagd' / Validatie van SAML-certificaat mislukt

Fout 400 ongeldige aanvraag

Controleer of de juiste SAML-verklaring wordt verstuurd:

  • Controleer of de id-provider de volgende attributen (hoofdlettergevoelig) doorgeeft aan de SAML-verklaring: FirstName, LastName, Email. Als deze attributen niet zijn geconfigureerd in de IdP om te worden verstuurd als deel van de SAML 2.0 Connector-configuratie, werkt de verificatie niet.
  • Er staat gaan NameID-element in het onderwerp. Controleer dat het Subject-element een NameId-element bevat. Dit moet gelijk zijn aan het Email-attribuut, dat het e-mailadres moet zijn van de gebruiker die u wilt verifiëren.
  • Typefouten, met name typefouten die gemakkelijk over het hoofd te zien zijn, zoals https in plaats van http.
  • Controleer of het juiste certificaat is verstrekt. IDP's moeten zijn geconfigureerd om niet-gecomprimeerde SAML-aanvragen/responsen te gebruiken. Het Okta Inbound SAML Protocol werkt alleen met de niet-gecomprimeerde instellingen.

Een hulpprogramma zoals SAML-tracering voor Firefox kan de verklaring helpen uitpakken en weergeven voor controle. Als u hulp nodig hebt van Adobe-ondersteuning, wordt u om dit bestand gevraagd. 

Het volgende voorbeeld kan helpen bij de juiste indeling van uw SAML-verklaring:

Downloaden

Met Microsoft ADFS:

  1. Elke Active Directory-account moet een e-mailadres in Active Directory hebben voor geslaagde aanmelding (gebeurtenislogboek: The SAML response does not have NameId in the assertion). Controleer dit eerst.
  2. Open het dashboard
  3. Klik op het identiteitstabblad en het domein.
  4. Klik op Edit Configuration (Configuratie bewerken).
  5. Zoek IDP Binding (IDP-binding). Schakel over naar HTTP-POST en sla op. 
  6. Test de aanmelding opnieuw.
  7. Als de aanmelding werkt maar u de voorkeur geeft aan de eerdere instelling, gaat u gewoon terug naar HTTP-REDIRECT en uploadt u de metagegevens opnieuw naar ADFS.

Met andere IdP's:

  1. Wanneer u fout 400 tegenkomt, is een geslaagde aanmelding afgewezen door uw IdP.
  2. Controleer uw IdP-logboeken om de oorzaak van de fout te achterhalen.
  3. Corrigeer de fout en probeer het opnieuw.

Microsoft ADFS configureren

Raadpleeg de stapsgewijze gids om Microsoft ADFS te configureren.

Als een Mac-client een leeg venster in Creative Cloud heeft, moet u zorgen dat de Creative Cloud-gebruikersagent vertrouwd wordt.

Microsoft Azure configureren

Raadpleeg de stapsgewijze gids om Microsoft Azure te configureren.

OneLogin configureren

Raadpleeg de stapsgewijze gids om OneLogin te configureren.

Okta configureren

Raadpleeg de stapsgewijze gids om Okta te configureren.

Dit werk is gelicentieerd onder de Creative Commons Naamsvermelding/Niet-commercieel/Gelijk delen 3.0 Unported-licentie  De voorwaarden van Creative Commons zijn niet van toepassing op Twitter™- en Facebook-berichten.

Juridische kennisgevingen   |   Online privacybeleid