Guia do Usuário Cancelar

Resolver erros de logon com Federated ID (SSO)

Resolva erros comuns de autenticação, verifique configurações e solucione problemas de logon relacionados a Federated ID (SSO) em produtos da Adobe. Obtenha dicas para corrigir erros de SAML, problemas de certificado e outros desafios de autenticação.

Observação:

Consulte os artigos a seguir se sua organização tiver configurado o SSO por meio do Google Federation ou do Microsoft Azure Sync:

Visão geral

Depois de configurar o SSO com sucesso pelo Adobe Admin Console, verifique se você selecionou Baixar o arquivo de metadados da Adobe e salvou o arquivo de metadados XML do SAML no computador. Seu provedor de identidade requer este arquivo para habilitar o logon único (SSO). Importe os detalhes de configuração XML corretamente no seu provedor de identidade (IdP). Isso é necessário para a integração do SAML com seu IdP e garante que os dados sejam configurados corretamente.

Se você tiver dúvidas sobre como usar o arquivo de metadados XML do SAML para configurar seu IdP, consulte diretamente o IdP para obter instruções, que variam de acordo com o IdP.

Baixar arquivo de metadados da Adobe

Solução de problemas básicos

Problemas de logon único geralmente são causados por erros básicos que são fáceis de deixar passar. Verifique em especial o seguinte:

  • O usuário está atribuído a um perfil de produto com um direito.
  • O nome de usuário enviado a SAML corresponde ao nome de usuário no painel corporativo.
  • Confira todas as entradas no Admin Console e no provedor de identidade para ver se há erros de ortografia ou sintaxe.
  • O aplicativo de desktop da Creative Cloud foi atualizado para a versão mais recente.
  • O usuário fez logon no local correto (aplicativo de desktop da Creative Cloud, aplicativo da Creative Cloud ou Adobe.com)

Soluções para outros erros comuns

Erro: “Ocorreu um erro” com um botão de “Tentar novamente”

Este erro geralmente ocorre após o usuário ser autenticado com sucesso e o Okta encaminhar a resposta da autenticação com sucesso à Adobe.

No Adobe Admin Console, valide o seguinte:

Na guia Identidade:

  • Verifique se o domínio associado foi ativado.

Na guia Produtos:

  • Verifique se o usuário está associado ao apelido do produto correto e se ele está no domínio reivindicado para ser configurado como Federated ID.
  • Verifique se o apelido do produto tem os direitos corretos atribuídos a ele.

Na guia Usuários:

  • Verifique se o nome do usuário está no formato de um endereço de email completo.

Erro: “Acesso negado” ao fazer logon

Possíveis causas deste erro:

  • O nome de usuário ou endereço de email enviados na afirmação SAML não correspondem às informações inseridas no Admin Console.
  • O usuário não está associado ao produto correto ou o produto não está associado ao direito correto.
  • O nome de usuário no SAML foi inserido como algo diferente de um endereço de email. Todos os usuários devem estar no domínio que você reivindicou como parte do processo de configuração.
  • Seu cliente de SSO utiliza JavaScript como parte do processo de logon, e você está tentando fazer logon em um cliente que não aceita JavaScript.

Como resolver:

  • Verifique o nome de usuário e o email no Adobe Admin Console e combine o valor com o atributo NameID e Email nos logs SAML.
  • Verifique a configuração do painel para o usuário: informações do usuário e perfil de produto.
  • Execute um rastreamento de SAML e confira se as informações enviadas correspondem ao painel, corrigindo inconsistências.

Erro: “Outro usuário está conectado no momento”

O erro “Outro usuário está conectado no momento” ocorre quando os atributos enviados para a afirmação SAML não correspondem ao endereço de email usado para iniciar o processo de logon.

Execute um rastreamento de SAML e certifique-se de que o endereço de email do usuário para fazer logon corresponda ao seguinte:

  • Endereço de email do usuário indicado no Admin Console
  • Nome de usuário devolvido no campo NameID da afirmação SAML

Erro: “O emissor na resposta SAML não corresponde ao emissor configurado para o provedor de identidade”

O emissor de IDP na afirmação SAML é diferente do que foi configurado no SAML de entrada. Verifique se há erros de digitação (como http vs https). Ao verificar a string do emissor de IDP no sistema SAML do cliente, você deve encontrar uma correspondência exata à string que ele forneceu. Esse problema às vezes ocorre porque falta uma barra no final.

Se você precisar de ajuda para resolver esse erro, forneça um rastreamento de SAML e os valores que inseriu no painel da Adobe.

Erro: “A assinatura digital na resposta SAML não foi validada com o certificado do provedor de identidade”

Esse problema ocorre quando o certificado do diretório expirou. Para atualizar o certificado, você precisa baixar o certificado ou os metadados do provedor de identidade e fazer upload deles no Adobe Admin Console.

Por exemplo, siga as etapas abaixo se o seu IdP for o Microsoft AD FS:

  1. Abra o aplicativo Gerenciamento do AD FS no seu servidor e, dentro da pasta AD FS > Service > Endpoints, selecione Federation Metadata.

  2. Use um navegador para acessar o URL fornecido em Federation Metadata e baixe o arquivo. Por exemplo, https://<nome do servidor do AD FS>/FederationMetadata/2007-06/FederationMetadata.xml.

    Observação:

    Aceite todos os avisos exibidos.

  3. Na guia Configurações do Admin Console, acesse Configurações de identidadeDiretórios. Selecione o diretório para atualizar e clique em  Configurar no cartão do provedor SAML.

    Em seguida, faça upload do arquivo de metadados do IdP e selecione Salvar.

Erro: “O horário atual é anterior ao período especificado nas condições da afirmação”

Servidor de IdP baseado no Windows:

1. Confira se o relógio do sistema está sincronizado com um servidor de horário preciso.

Verifique a precisão do relógio do sistema em relação ao servidor de horário com o comando abaixo. O valor “Phase Offset” deve ser uma pequena fração de segundo:

w32tm /query /status /verbose

Você pode fazer uma ressincronização imediata do relógio do sistema com o servidor de horário usando este comando:

w32tm /resync

Se o relógio do sistema estiver definido corretamente, mas você continuar recebendo o erro acima, será preciso ajustar a configuração de desvio de tempo para aumentar a tolerância da diferença entre os relógios do servidor e do cliente.

2. Aumente a diferença permitida no relógio do sistema entre servidores.

Em uma janela do Powershell com direitos administrativos, defina o desvio de tempo permitido como 2 minutos. Verifique se você consegue fazer logon e aumente ou diminua o valor dependendo do resultado.

Determine a configuração de desvio de tempo atual para o objeto de confiança de terceira parte confiável relevante usando este comando:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

O objeto de confiança de terceira parte confiável é identificável pelo URL exibido no campo “Identifier” da saída do comando anterior para a configuração em questão. Esse URL também é exibido no utilitário Gerenciamento do AD FS na janela de propriedades do objeto de confiança de terceira parte confiável relevante no campo “Relying Party Trusts” da guia “Identifiers”, conforme mostrado na captura de tela abaixo.

Defina o desvio de tempo como 2 minutos com o seguinte comando, substituindo o endereço do identificador:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

Servidor de IdP baseado no UNIX

Verifique se o relógio do sistema está configurado corretamente usando o serviço ntpd ou manualmente usando o comando ntpdate de um shell raiz ou usando sudo, conforme mostrado abaixo (observe que se o houver mais de 0,5 segundos de diferença no horário, a alteração não ocorrerá imediatamente, corrigindo o relógio do sistema aos poucos). Verifique se o fuso horário também está definido corretamente.

# ntpdate -u pool.ntp.org

Observação:

Isso funciona com provedores de identidade como o Shibboleth.

Erro: 401 credenciais não autorizadas

Este erro ocorre quando o aplicativo não aceita logon federado e o logon precisa ser feito com uma Adobe ID. FrameMaker, RoboHelp e Adobe Captivate são exemplos de aplicativos com esse requisito.

Erro: “Falha no logon no SAML de entrada com a mensagem: a resposta do SAML não continha afirmações”

​Verifique o fluxo de trabalho de logon.  Se for possível acessar a página de logon em outro computador ou rede, mas não internamente, o problema pode ser uma string de bloqueio de agente.  Execute um rastreamento de SAML e confirme que FirstName, LastName e Username (um endereço de email adequado) estejam no assunto do SAML.

Erro: “400: solicitação incorreta” ou “O status da solicitação de SAML não foi bem-sucedido”, ou “Falha na validação da certificação SAML”

Verifique se a afirmação SAML apropriada está sendo enviada:

  • Ausência de um elemento NameID no assunto. Verifique se o elemento Subject contém um elemento NameID. Ele deve ser igual ao atributo Email, que deve ser o endereço de email do usuário a ser autenticado.
  • Erros de ortografia, especialmente os mais ignorados, como https versus http.
  • Verifique se o certificado correto foi fornecido. IDPs precisam ser configurados para usar solicitações/respostas SAML não compactadas.

Um utilitário como o SAML Tracer para Firefox pode ajudar a descompactar a afirmação e exibi-la para inspeção. Se você precisar de ajuda do Atendimento ao cliente da Adobe, esse arquivo será solicitado. Para obter informações, consulte Como executar um rastreamento de SAML.

O seguinte exemplo de trabalho pode ajudar na formatação adequada da afirmação SAML:

Download

Com o Microsoft AD FS:

  1. Toda conta do Active Directory precisa ter um endereço de email presente no Active Directory para garantir um logon com êxito (registro de evento: A resposta SAML não tem um NameID na afirmação). Verifique isso primeiro.
  2. Acesse o painel
  3. Clique na guia Identidade e no domínio.
  4. Clique em Editar configuração.
  5. Localize Vínculo de IDP. Troque para HTTP-POST e salve. 
  6. Teste novamente o logon.
  7. Se funcionar, mas você preferir a configuração anterior, basta trocar de volta para HTTP-REDIRECT e fazer upload dos metadados novamente no AD FS.

Com outros IdPs:

  1. O erro 400 indica que um logon bem-sucedido foi rejeitado por seu IdP.
  2. Verifique os registros do IdP para encontrar a origem do erro.
  3. Corrija o problema e tente novamente.

Erro: “403: certificado com defeito”

Erro: “403 app_not_configured_for_user”

Atualize a ID da entidade no Google Console. Em seguida, exporte o arquivo de metadados e faça upload dele no Adobe Admin Console.

Erro: “você não pode acessar isso agora” ou “você não pode fazer isso por aqui”

Este erro geralmente ocorre quando a organização habilita a política de acesso condicional no IdP.

Se você estiver usando pacotes gerenciados para implantar produtos, crie um pacote gerenciado no Adobe Admin Console selecionando a opção de autenticação baseada em navegador. Depois, implante-o no dispositivo do usuário.

Caso contrário, os usuários poderão abrir o aplicativo de desktop da Creative Cloud e selecionar Fazer logon usando o navegador no menu Ajuda.

Erro: “Aplicativo não atribuído”

Nesse caso, o administrador deve adicionar os usuários ao aplicativo Adobe SAML criado em seu IdP. Saiba como criar um aplicativo Adobe SAML no Admin Console do Google ou Portal do Microsoft Azure.

Erro: “Você não tem acesso a esse serviço. Entre em contato com seu administrador de TI para obter acesso ou fazer logon com uma Adobe ID”

Verifique os logs SAML, pois o nome de usuário ou endereço de email enviado na declaração SAML não corresponde às informações inseridas no Admin Console.

Receba ajuda com mais rapidez e facilidade

Novo usuário?