Opis ogólny

Próba zalogowania się do produktów, usług i aplikacji mobilnych Adobe za pomocą identyfikatora Federated ID (logowanie jednokrotne) powoduje wyświetlenie jednego z następujących błędów.

Po pomyślnym skonfigurowaniu logowania jednokrotnego w konsoli administracyjnej Adobe sprawdź, czy kliknięto polecenie Pobierz metadane i czy zapisano w komputerze plik metadanych SAML XML.Dostawca tożsamości potrzebuje tego pliku do włączenia logowania jednokrotnego.Zaimportuj prawidłowo szczegóły konfiguracji XML do dostawcy tożsamości. Jest to konieczne do integracji rozwiązania SAML z dostawcą i zapewni poprawność skonfigurowania danych.

Poniżej przedstawiono niektóre typowe problemy z konfiguracją:

  • Certyfikat jest innym w formacie niż PEM.
  • Certyfikat ma inne rozszerzenie niż .cer. Rozszerzenia .pem i .cert nie są obsługiwane.
  • Certyfikat został zaszyfrowany.
  • Certyfikat jest w formacie jednoliniowym. Wymagany jest format wieloliniowy.
  • Włączono kontrolę wycofania certyfikatu (która nie jest obecnie obsługiwana).
  • Wystawca IdP w pliku SAML jest inny niż skonfigurowany w Konsoli administratora (np. z powodu literówki, brakujących znaków, zamiany protokołu HTTPS na HTTP itd.).

Jeśli masz pytania co do sposobu użycia pliku metadanych XML SAML w celu konfiguracji dostawcy tożsamości, skontaktuj się bezpośrednio z dostawcą.

Niektóre przykłady konkretnych dostawców (lista nie jest wyczerpująca — obsługiwani są wszyscy dostawcy obsługujący standard SAML 2).

Okta: Wprowadź ręcznie wymagane informacje do pliku XML i uzupełnij je w odpowiednich polach interfejsu użytkownika.

Ping Federate: Prześlij plik XML lub wprowadź dane do odpowiednich pól interfejsu użytkownika.

Microsoft ADFS: Certyfikat musi być w formacie PEM. Format domyślny dla ADFS to DER. Możesz skonwertować certyfikat za pomocą polecenia openssl dostępnego w systemach OS X, Windows i Linux:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Po wykonaniu powyższego kroku zmień rozszerzenie nazwy certyfikatu na .cer.

Należy również upewnić się, że jeśli masz więcej niż jeden certyfikat, użyto prawidłowego. Musi to być ten sam certyfikat, który służy do podpisywania wniosków. (Na przykład jeśli do podpisania wniosków użyto certyfikatu „podpisywanie tokenów”, należy użyć tego właśnie certyfikatu.) Kontrola wycofywania certyfikatów musi zostać wyłączona.

Jeśli skonfigurowano dostawcę tożsamości IDP w prawdopodobnie prawidłowy sposób, spróbuj wykonać jedną lub więcej z poniższych czynności w zależności od otrzymywanego błędu.

Łącze pobierania metadanych

Podstawowe rozwiązywanie problemów

Problemy z logowaniem jednokrotnym są często powodowane przez podstawowe błędy, które łatwo przeoczyć. Sprawdź w szczególności następujące elementy:

  • Czy użytkownika przypisano do konfiguracji produktu z uprawnieniem.
  • Czy imię i nazwisko użytkownika oraz jego adres e-mail są wysyłane w pliku SAML w dokładnie tej formie, w której pojawiają się w panelu firmowym i czy są w pliku SAML podane z prawidłowym oznaczeniem.
  • Sprawdź wszystkie wpisy w konsoli administracyjnej i u dostawcy tożsamości pod kątem błędów w pisowni lub błędów składniowych.
  • Aplikacja komputerowa Creative Cloud została zaktualizowana do najnowszej wersji.
  • Użytkownik loguje się do właściwego miejsca (aplikacja komputerowa lub mobilna CC albo witryna adobe.com)

Pojawia się błąd o treści „Wystąpił błąd” z przyciskiem „Spróbuj ponownie”

Wystąpił błąd. SPRÓBUJ PONOWNIE.

Błąd ten zazwyczaj występuje po autoryzacji użytkownika i przekazaniu odpowiedzi uwierzytelniającej przez Okta do Adobe.

W konsoli administracyjnej Adobe sprawdź następujące elementy:

Na karcie Tożsamość:

  • Sprawdź, czy aktywowano powiązaną domenę.

Na karcie Produkty:

  • Sprawdź, czy użytkownika powiązano z prawidłowym pseudonimem produktu oraz w domenie skonfigurowanej jako używająca identyfikatora Federated ID.
  • Sprawdź, czy do pseudonimu produktu przypisano poprawne uprawnienia.

Na karcie Użytkownicy:

  • Sprawdź, czy nazwa użytkownika została wpisana w postaci pełnego adresu e-mail.

Błąd „Odmowa dostępu” przy logowaniu

Błąd odmowy dostępu

Możliwe przyczyny tego błędu:

  • Wartości imienia, nazwiska lub adresu e-mail wysyłane w twierdzeniu SAML nie pasują do informacji wprowadzonych z konsoli administracyjnej.
  • Użytkownik nie jest przypisany do właściwego produktu lub produkt nie ma poprawnych uprawnień.
  • Otrzymywana nazwa użytkownika SAML jest czymś innym niż adres e-mail. Wszyscy użytkownicy muszą należeć do domeny zadeklarowanej podczas konfiguracji.
  • Klient SSO używa w ramach logowania skryptów JavaScript, a próba zalogowania jest realizowana z klienta, który go nie obsługuje (np. Creative Cloud Packager).

Sposób rozwiązania tego problemu:

  • W konfiguracji panelu sprawdź u użytkownika informacje o nim oraz o produkcie.
  • Uruchom śledzenie SAML i sprawdź, czy wysyłane informacje są zgodne z informacjami z pulpitu, a następnie skoryguj ewentualne niespójności.

Błąd „Inny użytkownik jest aktualnie zalogowany”

Błąd „Inny użytkownik jest aktualnie zalogowany” występuje, gdy atrybuty wysyłane w twierdzeniu SAML nie są zgodne z adresem e-mail, którego użyto do rozpoczęcia procesu logowania.

Sprawdź atrybuty w twierdzeniu SAML i upewnij się, czy są zgodne z identyfikatorem użytkownika, który chce je użyć, oraz czy dokładnie pasują do danych w konsoli administracyjnej.

Błąd „Nie udało się nawiązać połączenie jako zasady systemowej” lub „Nie powiodło się utworzenie użytkownika”

Błąd „Nie udało się nawiązać połączenie jako zasady systemowej” (z losowym kodem) lub „Nie powiodło się utworzenie użytkownika” oznacza problem z atrybutami SAML.Upewnij się, że wielkość liter w nazwach atrybutów jest prawidłowa (wielkość liter, nazewnictwo): FirstName, LastName, Email. Przyczyną błędu może być wysłanie atrybutu „email” zamiast „Email”.

Błędy te mogą również wystąpić, jeśli twierdzenie SAML nie zawiera adresu e-mail użytkownika w elemencie Subject > NameID (gdy jest używane narzędzie SAML Tracer, powinien być widoczny format emailAddress oraz faktyczny adres e-mail z wartością jako tekst).  

Jeśli potrzebujesz pomocy ze strony Adobe, prześlij do nas ślad SAML.

 

Błąd „Wystawca w odpowiedzi SAML nie jest zgodny z wystawcą skonfigurowanym u dostawcy tożsamości”

Wystawca IDP w twierdzeniu SAML różni się od skonfigurowanego w przychodzącym komunikacie SAML. Poszukaj literówek (takich jak HTTP i HTTPS). Podczas sprawdzania ciągu wystawcy IDP w systemie SAML klienta należy szukać DOKŁADNEGO dopasowania do podanego ciągu. Problemy czasami wynikają z braku końcowego ukośnika.

Jeśli potrzebujesz pomocy z tym błędem, prześlij nam ślad SAML oraz wartości wprowadzone w pulpicie Adobe.

Błąd „Podpis cyfrowy w odpowiedzi SAML nie jest zgodny z certyfikatem dostawcy tożsamości”

Plik certyfikatu jest najprawdopodobniej niepoprawny i musi być ponownie przesłany. Problem ten przeważnie występuje, gdy po wprowadzeniu zmiany administrator wywołuje niepoprawny plik cert.Sprawdź także typ formatu (dla ADFS potrzebny jest format PEM).

Błąd „Obecny czas jest przed przedziałem czasu określonym w warunkach twierdzenia”

Windows:

Skoryguj ustawienie zegara systemowego lub wartość przesunięcia czasu.

Ustawianie godziny systemowej:

Sprawdź godzinę systemową za pomocą tego polecenia:

w32tm /query /status

Aby skorygować zegar systemowy systemu Windows Server, użyj następującego polecenia:

w32tm /resync

Jeśli zegar systemowy jest ustawiony prawidłowo, konieczne może być stworzenie tolerancji dla różnicy między dostawcą tożsamości oraz tworzonym systemem.

Przesunięcie zegara

Zacznij od ustawienia 2-minutowego przesunięcia. Sprawdź, czy można się połączyć, i stosownie zwiększ lub zmniejsz wartość. Szczegóły na ten temat znajdują się w bazie wiedzy firmy Microsoft.

Podsumowując, ze środowiska PowerShell można uruchomić następujące polecenia:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Just to see what the values were originally
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Set the skew to 2 minutes

gdzie „urn:party:sso” to jeden z identyfikatorów strony przekazującej.

Uwaga: Aby pobrać wszystkie obiekty zaufania strony przekazującej, można użyć polecenia Get-ADFSRelyingPartyTrust bez żadnych parametrów.

Systemy na bazie środowiska UNIX:

Sprawdź, czy zegar systemowy jest ustawiony prawidłowo, na przykład za pomocą następującego polecenia:

ntpdate -u pool.ntp.org

Odbiorca podany w polu SubjectConfirmation nie pasuje do identyfikatora jednostki dostawcy usług.

Atrybuty muszą mieć dokładnie takie brzmienie i taką wielkość liter: FirstName, LastName, Email. Ten komunikat o błędzie może oznaczać, że jeden z atrybutów ma niewłaściwą wielkość liter, na przykład „email” zamiast „Email”. Sprawdź także wartość odbiorcy — powinna odwoływać się do ciągu ACS.

Ciąg ASC

Błąd 401: nieautoryzowane poświadczenia

Ten błąd występuje, aplikacja nie obsługuje logowania federacyjnego i należy logować się za pomocą identyfikatora Adobe. Takimi aplikacjami są m.in. Framemaker, RoboHelp i Captivate.

Błąd „Logowanie przychodzące SAML nie powiodło się z komunikatem: odpowiedź SAML nie zawierała żadnych twierdzeń”

Sprawdź obieg pracy logowania. Jeśli masz dostęp do strony jednokrotnego logowania z innego komputera lub z innej sieci, ale nie masz go wewnętrznie, problem może wynikać z ciągu agenta. Warto także uruchomić śledzenie SAML i potwierdzić, że wartości imienia, nazwiska i nazwy użytkownika są prawidłowo sformatowanymi adresami e-mail wpisanymi w temacie SAML.

Błąd 400 nieprawidłowe żądanie / Błąd „Status żądania SAML nie powiódł się” walidacji / weryfikacja certyfikatu SAML nie powiodła się

Błąd 400 nieprawidłowe żądanie

Sprawdź czy wysłano prawidłowe twierdzenie SAML:

  • Sprawdź, czy dostawca tożsamości przekazuje w twierdzeniu SAML następujące atrybuty (z uwzględnieniem wielkości liter): FirstName, LastName, Email. Jeśli u dostawcy tożsamości nie skonfigurowano przesyłania tych atrybutów w ramach konfiguracji łącznika SAML 2.0 Connector, uwierzytelnianie nie będzie działać.
  • Brak elementu NameID w temacie. Sprawdź, czy element Subject zawiera element NameID. Musi mieć on tę samą wartość, co element Email, który powinien być adresem e-mail uwierzytelnianego użytkownika.
  • Literówki, szczególnie te łatwe do przeoczenia, takie jak HTTPS i HTTP.
  • Sprawdź, czy przekazano poprawny certyfikat. Dostawca tożsamości musi realizować nieskompresowane żądania/odpowiedzi SAML. Protokół przychodzących twierdzeń SAML Okta działa tylko przy braku kompresji.

Do rozpakowania twierdzenia i wyświetlenia go w celu kontroli można użyć specjalnego narzędzia, takiego jak SAML Tracer. Jeśli potrzebujesz pomocy od firmy Adobe, poprosimy o przesłanie tego pliku.

Aby poprawnie skonfigurować twierdzenie SAML, użyj poniższego przykładu:

Pobierz

Z Microsoft ADFS:

  1. Każde konto Active Directory musi mieć wprowadzony w usłudze Active Directory adres e-mail, aby móc się skutecznie zalogować (dziennik zdarzeń: Odpowiedź SAML nie miała w twierdzeniu elementu NameID). Sprawdź to najpierw.
  2. Utwórz pulpit
  3. Kliknij kartę Tożsamość i domenę.
  4. Kliknij polecenie Edytuj konfigurację.
  5. Znajdź powiązanie dostawcy tożsamości. Przełącz protokół na HTTP-POST i zapisz zmiany. 
  6. Spróbuj się zalogować ponownie.
  7. Jeśli to działa, ale wolisz wcześniejsze ustawienia, wróć do protokołu HTTP-REDIRECT i prześlij ponownie metadane do ADFS.

Z innymi aplikacjami dostawcami tożsamości:

  1. Wystąpienie błędu 400 oznacza, że dostawca tożsamości odrzucił prawidłowy login.
  2. Aby znaleźć źródło błędu, znajdź rejestry IdP.
  3. Skoryguj problem i spróbuj ponownie.

Konfigurowanie usługi Microsoft ADFS

Przeczytaj przewodnik typu „krok po kroku” dotyczący konfigurowania usługi Microsoft ADFS.

Jeśli klient Mac wyświetla puste okno w programie Creative Cloud, upewnij się, że agent użytkownika „Creative Cloud” jest agentem zaufanym.

Konfigurowanie usługi Microsoft Azure

Przeczytaj przewodnik typu „krok po kroku” dotyczący konfigurowania usługi Microsoft Azure.

Konfigurowanie usługi OneLogin

Przeczytaj przewodnik typu „krok po kroku” dotyczący konfigurowania usługi OneLogin.

Konfigurowanie usługi Okta

Przeczytaj przewodnik typu „krok po kroku” dotyczący konfigurowania usługi Okta.

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online