Oversikt

Forsøk på å logge på Adobe-produkter, tjenester eller mobilapper med en Federated ID (SSO) resulterer i en av følgende feilmeldinger.

Etter å ha konfigurert SSO i Adobe Admin Console, sørger for at du klikker på Last ned metadata og har lagret SAML XML Metadata-fil til din datamaskin.Din identitetsleverandør krever at denne filen aktiverer enkeltpålogging.Du må importere XML-konfigurasjonsdetaljer i din identitetsleverandør (IdP). Dette kreves for SAML-integrasjon med din IdP og vil sørge for at data konfigureres ordentlig.

Følgende er noen vanlige konfigureringsproblemer:

  • Sertifikat er i et annet format enn PEM.
  • Sertifikat har en utvidelse i tillegg til .cer. .pem og .cert virker ikke.
  • Sertifikat er kryptert.
  • Sertifikatet er i enkeltlinjeformat. Flere linjer er påkrevd.
  • Certificate Revocation Verfication er slått på (støttes ikke for øyeblikket).
  • IdP-utsteder i SAML er ikke den samme som ble spesifisert i Admin Console (for eksempel, stavefeil, manglende tegn, https vs http).

Hvis du har spørsmål om hvordan du bruker SAML XML Metadata-filen for å konfigurere din IdP, ta kontakt med din IdP direkte for instruksjoner, som varierer mellom IdP.

Noen eksempler for spesifikke IdP-er (ikke en omfattende liste-enhver SAML 2-samsvarende IdP fungerer):

Okta: Ta den påkrevde informasjonen i XML-filen manuelt og sett den inn i passende UI-felt for å konfigurere data.

Ping Federate: Last opp XML-filen eller sett inn data i passende UI-felt.

Microsoft ADFS: Sertifikatet må være i PEM-format, men standard for ADFS er DER-format. Du kan konvertere sertifikatet med openssl-kommandoen, tilgjengelig på OS X, Windows eller Linux som følger:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Etter du har gjennomført trinnet ovenfor, gi sertifikatet navnet .cer.

Sørg også for at korrekt sertifikat er brukt hvis du har mer enn ett; det må være det samme som skal signere forspørslene. (For eksempel, hvis «tokensigneringssertifikatet» signerer forespørselene, skal man bruke det sertifikatet.) Verifisering av sertifiseringstilbakekalling.

Hvis du har konfigurert din IdP, prøv en eller flere av følgende avhengig av feilen du får.

Last ned metadatakobling

Grunnleggende feilsøking

Problemer med enkeltpålogging forårsakes ofte av veldig grunnleggende feil som er enkle å overse. Kontroller særlig følgende:

  • Brukeren tildeles en produktkonfigurasjon med en berettigelse.
  • Brukerens fornavn, etternavn og e-postadresse blir sendt i SAML nøyaktig som de vises i kontrollpanelet for enterprise og er til stede i SAML med korrekt merking.
  • Sjekk alle innføringer i Admin Console og din identitetsleverandør for stave- eller syntaksfeil.
  • Creative Cloud-skrivebordsprogrammet har blitt oppdatert til den nyeste versjonen.
  • Brukeren logger på korrekt sted (CC Desktop-app, CC-program elelr adobe.com)

Feil «En feil oppstod» med knapp merket «Prøv igjen»

En feil oppstod – PRØV PÅ NYTT

Denne feilen skjer typisk etter at brukergodkjenning har lyktes og Okta har videresendt godkjenningsresponsen til Adobe.

I Adobe Admin Console, valider følgende:

I kategorien Identitet:

  • Sørg for at det assosierte domenet har blitt aktivert.

I kategorien Produkter:

  • Sørg for at brukeren er knyttet til korrekt produktkallenavn og i domenet som skal konfigureres som Federated ID.
  • Sørg for at produktkallenavnet har korrekt berettigelse(r) tildelt til det.

I kategorien Brukere:

  • Sørg for at brukernavnet til brukeren er i form av en fullstendig e-postadresse.

Feil: «Ingen tilgang»-pålogging

Feilen Ingen tilgang

Mulige årsaker til denne feilen:

  • Fornavn, etternavn eller e-postadresse som sendes i SAML-påstanden ikke stemmer overens med informasjonen som er angitt i Admin Console.
  • Brukeren er ikke knyttet til riktig produkt, eller produktet er ikke knyttet til korrekt berettigelse.
  • SAML-brukernavnet virker forskjellig fra en e-postadresse. Alle brukere må være i domenet du hentet som del av konfigureringsprosessen.
  • Din SSO-klient anvender Javascript som del av påloggingsprosessen, og du prøver å logge på en klient som ikke støtter Javascript (som Creative Cloud Packager).

Slik løser du:

  • Verifiser kontrollpanelkonfigurasjonen for brukeren: brukerinformasjon og produktkonfigurasjon.
  • Kjør et SAML-spor og valider at informasjonen som blir sendt stemmer overens med kontrollpanelet, og korriger så inkonsitens.

Feil «En annen bruker er for øyeblikket logget på»

Feil «En annen bruker er for øyeblikket logget på skjer når attributter sendt i SAML-påstand ikke stemmer overens med e-postadressen som ble brukt for å starte påloggingsprosessen.

Sjekk attributtene i SAML-påstanden og sørg for at de er en nøyaktig match til ID-en brukeren prøver å bruke, og også en nøyaktig match med Admin Console.

Feil «Kunne ikke anrope som systemprinsippet» eller «Opprettelse av bruker mislyktes»

Feilen «kunne ikke anrope som systemprinsippet» (etterfulgt av en tilfeldig kode) eller «opprettelse av bruker mislyktes» indikerer et problem med SAML-attributtene.Sørg for at bokstavene til attributtnavnene er korrekt (skiller mellom store og små bokstaver, navn): fornavn, etternavn, e-post. For eksempel, avslutte attributtet som «e-post» i stedet for «e-post» kan forårsake disse feilene.

Disse feilene kan også skje hvis SAML-påstanden ikke inneholder bruker-e-post i Emne > Navne-ID-element (når man bruker SAML-sporer, bør den ga formatets e-postadresse og faktisk e-postadresse som tekst som verdi).  

Hvis du trenger assistanse fra Adobe kundestøtte, inkluder et SAML-spor.

 

Feil «Utstederen i SAML-respons stemte ikke overens med utstederen konfigurert for identitetsleverandøren»

IDP-utstederen i SAML-påstanden er forskjellig fra det som har blitt konfigurert i innkommende SAML. Se etter skrivefeil (som http vs. https). Når du sjekker IDP-utstederstrengen med kundens SAML-system, ser du etter en NØYAKTIG match med strengen de oppga. Problemet kommer opp noen ganger fordi en skråstrek mangler på slutten.

Hvis du trenger hjelp med denne feilen, oppgi et SAML-spor og verdiene du oppga i Adobe-kontrollpanelet.

Feil «Den digitale signaturen i SAML-responsen validerte ikke med identitetsleverandørens sertifikat»

Sertifikatfilen er mest sannsynlig ikke riktig og må lastes opp på nytt. Dette problemet skjer generelt etter at en endring er foretatt og administrator refererer til uriktig cert-fil.Sjekk også formattype (må være PEM-format for ADFS).

Feil «Den gjeldende tiden er før tidsområdet spesifisert i påstandsbetingelsene»

Windows:

Korriger enten systemklokken, eller juster skråstilt verdi for tid.

Stille inn systemtid:

Sjekk systemklokken med denne kommandoen:

w32tm /query /status

Du kan korrigere systemklokken på Windows Server med følgende kommando:

w32tm /resync

Hvis systemklokken er riktig satt, må du kanskje lage en toleranse for en forskjell mellom IdP og systemet som godkjenner.

Klokke skråstilt

Begynn med å sette den tillatte skråverdien til 2 minutter. Sjekk om du kan koble til, og enten øk eller reduser verdien avhengig av resultatet. Finn fulle detaljer på Microsofts kunnskapsbase.

For å oppsummere, fra Powershell kan du kjøre følgende kommandoer:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Bare for å se hva verdiene opprinnelig var
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Sett skråstilling til 2 minutter

der "urn:party:sso" er en av identifikatorene for din avhengige part

Merk: Du kan bruke Get-ADFSRelyingPartyTrust cmdlet uten parametre for å få alle avhengige parters tillitsobjekter.

UNIX-baserte systemer:

Sørg for at systemklokken er riktig stilt inn, for eksempel, med følgende kommando:

ntpdate -u pool.ntp.org

Mottakeren spesifisert i emnebekreftelse stemte ikke overens med din tjenesteleverandørs enhets-id

Sjekk attributtene fordi de må stemme nøyaktig overens med følgende bokstav: fornavn, etternavn, e-post. Feilmeldingen kan bety at en av attributtene har feil bokstav, som «e-post», i stedet for «E-post.» Sjekk også mottakerverdien-den bør referere til ACS-strengen.

ACS-streng

Feil 401 uautorisert brukerlegitimasjon

Denne feilen inntreffer når programmet ikke støtter Federated pålogging og må være logget på som en Adobe ID. FrameMaker, RoboHelp og Activate er eksempler på programmer med dette kravet.

Feil «Inngående SAML-pålogging mislyktes med melding: SAML-responsen inneholdt ingen påstander»

Sjekk arbeidsflyt for innlogging. Hvis du ikke kommer inn på påloggingssiden på en annen maskinen eller et annet nettverk men ikke internt, kan problemet være en blokkagentstreng. Kjør også et SAML-spor og bekreft at Fornavn, Etternavn og Brukernavn som en passende formatert e-postadresse er i SAML-emnet.

Feil 400 dårlig forespørsel/feil «Statusen til SAML-forespørselen var ikke vellykket»/SAML-sertifiseringsvalidering mislyktes

Feil 400 dårlig forespørsel

Valider at passende SAML-påstanden blir sendt.

  • Valider at identitetsleverandøren sender attributter (sensitiv for små og store bokstaver) i SAML-påstanden: Fornavn, Etternavn, E-post. Hvis disse attributtene ikke er konfigurert i IdP som skal sendes som del av SAML 2.0-kontaktkonfigurasjon, vil ikke godkjenningen virke.
  • Har ikke et navne-ID-element i emnet. Valider at emneelementet inneholder et navne-id-element. Den må være lik e-postattributt, som bør være e-postadressen til brukeren du vil godkjenne.
  • Stavefeil, spesielt de som er enkle å overse som https vs http.
  • Valider at korrekt sertifikat ble levert. IDP-er må konfigureres for å bruke ukomprimerte SAML-forespørsel/responser. Okta inngående SAML-protokoll virker kun med ukomprimerte innstillinger (ikke komprimerte innstillinger).

Et verktøy som SAML-sporer for Firefox kan bidra til å pakke ut påstanden og vise den for inspeksjon. Hvis du trenger hjelp fra Adobe kundestøtte, blir du bedt om denne filen.

Følgende arbeidseksempel kan bidra til å formatere din SAML-påstand ordentlig:

Last ned

Med Microsoft ADFS:

  1. Hver Active Directory-konto må ha en e-postadresse ført opp i Active Directory for å logge på (hendelseslogg: SAML-responsen har ikke navne-id i påstanden). Sjekk dette først.
  2. Gå inn i kontrollpanelet.
  3. Klikk på kategorien og Identitet og domenet.
  4. Klikk på Rediger konfigurasjon.
  5. Lokaliser IDP-binding. Bytt til HTTP-POST og lagre. 
  6. Test innloggingsopplevelsen på nytt.
  7. Hvis det fungerer men du foretrekker den forrige innstillingen, bare bytt tilbake til HTTP-REDIRECT og last opp metadata på nytt til ADFS.

Med andre IdP-er:

  1. Møter du på feil 400 betyr det at en vellykket pålogging ble avvist av din IdP.
  2. Sjekk dine IdP-logger for feilkilden.
  3. Korriger problemet og prøv på nytt.

Konfigurere Microsoft ADFS

Se trinnvis veiledning for å konfigurere Microsoft ADFS.

Hvis en Mac-klient har et tomt vindu i Creative Cloud, sørg for at «Creative Cloud»-brukeragenten er klarert.

Konfigurere Microsoft Azure

Se trinnvis veiledning for å konfigurere Microsoft Azure.

Konfigurere OneLogin

Trinnvis veiledning for å konfigurere OneLogin.

Konfigurere Okta

Trinnvis veiledning for å konfigurere Okta.

Dette produktet er lisensiert i henhold til Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Innlegg på Twitter™ og Facebook dekkes ikke av Creative Commons-vilkår.

Juridiske merknader   |   Regler for personvern på nettet