Visão geral

A tentativa de efetuar o login nos produtos, serviços ou em aplicativos móveis da Adobe com uma Federated ID (SSO) resulta em um dos seguintes erros.

Após configurar com êxito o SSO no Console de Administração da Adobe, assegure que você tenha clicado em Download dos metadados e que tenha salvo o arquivo SAML XML Metadata em seu computador.Seu provedor de identidade requer este arquivo para ativar o Single Sign-On.Você deve importar os detalhes da configuração XML corretamente no seu provedor de identidade (IdP). Isso é necessário para a integração SAML com seu IdP e irá assegurar que os dados estão configurados corretamente.

Estes são alguns dos problemas de configuração mais comuns:

  • O certificado está em um formato que não é o PEM.
  • O certificado que tem uma extensão que não seja .cer. .pem e .cert não funcionará.
  • o certificado está criptografado
  • O certificado está em um formato de linha única. Múltiplas linhas são necessárias.
  • A verificação da revogação do certificado está ativada (isso não é suportado no momento).
  • O emissor do IdP no SAML não é o mesmo que foi especificado no Console de Administração (por exemplo, erro de ortografia, caracteres ausentes, https vs http).

Caso você tenha dúvidas sobre como usar o arquivo de metadados de SAML XML para configurar o IdP, acesse seu IdP diretamente para obter instruções que varia por IdP.

Alguns exemplos para IdPs específicos (não uma lista abrangente, qualquer Idp em conformidade com o SAML 2 IdP irá funcionar):

Okta: retire manualmente as informações necessárias dentro do arquivo XML e as insira nos campos apropriados da IU para configurar corretamente os dados.

Ping Federate: carregue o arquivo XML ou insira os dados nos campos apropriados da IU.

Microsoft ADFS: seu certificado tem de star no formato PEM, mas o padrão para o ADFS é o formato DER. Você pode converter o certificado usando o comando openssl, disponível no OS X, Windows ou no Linux como se segue:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Depois de executar a etapa acima, renomeie o certificado .cer.

Além disso, certifique-se de que o certificado correto seja usado se tiver mais de um. Ele deve ser o mesmo que vai assinar as solicitações. (Por exemplo, se o certificado de “assinatura token” estiver assinando as solicitações, este é o certificado a ser usado). A verificação da revogação do certificado deve estar destivada.

Se você configurou seu IdP com seu melhor conhecimento, tente um ou mais destes procedimentos dependendo do erro recebido.

Link de download de metadados

Solução de problemas básica

Os problemas com o login único geralmente são causados por erros muito básicos que são fáceis de não serem percebidos. Em particular, verifique o seguinte:

  • O usuário é atribuído a uma configuração de produto com um direito.
  • O nome, o sobrenome e o endereço de e-mail do usuário estão sendo enviados em SAML exatamente como aparecem no painel Enterprise e estão presentes em SAML com a legendagem correta.
  • Verifique todas as entradas no Console de Administração de seu provedor de identidade para ver se há erros de ortografia ou de sintaxe.
  • O aplicativo de desktop Creative Cloud foi atualizado para a versão mais recente.
  • O usuário está efetuando o login no local correto (aplicativo de desktop CC, aplicativo CC ou adobe.com)

Erro “Ocorreu um erro" com o botão legendado “Tente novamente”.

Ocorreu um erro - TENTE NOVAMENTE

Esse erro normalmente ocorre após a autenticação do usuário tiver êxito e o Okta enviou com êxito a resposta de autenticação para a Adobe.

No Console de Administração da Adobe, valide o seguinte:

Na guia Identidade:

  • Certifique-se de que o domínio associado tenha sido ativado.

Na guia Produtos:

  • Certifique-se de que o usuário esteja associado ao apelido correto do produto e dentro do domínio que você reivindicou para ser configurado como a Federated ID.
  • Certifique-se de que o apelido do produto tenha os direitos corretos atribuído ao mesmo.

Na guia Usuários:

  • Certifique-se de que o nome do usuário está na forma de um endereço de e-mail completo.

Erro: “Acesso negado” ao efetuar o login

Erro Acesso negado

As possíveis causas deste erro:

  • O nome, o sobrenome ou endereço de e-mail sendo enviado na assertiva de SAML não correspondem informações inseridas no Admin Console.
  • O usuário não está associado com o produto corretos ou o produto não está associado com o direito correto.
  • O nome de usuário SAML está chegando como algo diferente de um endereço de e-mail. Todos os usuários devem estar no mesmo domínio que você reivindicou como parte do processo de configuração.
  • Seu cliente SSO usa o Javascript como parte do processo de login, e você está tentando fazer o login em um cliente que não suporta o Javascript (tal como o Creative Cloud Packager).

Para solucionar:

  • Verifique a configuração do painel para o usuário: informações do usuário e configuração do produto.
  • Execute um rastreio SAML e valide que as informações sendo enviadas correspondem ao painel e, a seguir, corrija todas as inconsistências.

Erro “Outro usuário está no momento conectado”

O erro “outro usuário está atualmente conectado” ocorre quando os atributos enviados na assertiva de SAML não correspondem com o endereço de e-mail que foi usado para iniciar o processo de login.

Verifique os atributos na assertiva SAML e certifique-se de que eles sejam uma correspondência exata com a ID do usuário que está tentando usá-la e também uma correspondência exata com o Console de Administração.

Erro “Falha em fazer a chamada como o princípio do sistema” ou “Falha em criar o usuário”

Erro “Falha em fazer a chamada como o princípio do sistema” (seguida por um código aleatório) ou “Falha em criar o usuário” indica um problema com os atributos SAML.Certifique-se de que a capitalização dos nomes de atributo esteja correta (com distinção entre maiúsculas e minúsculas): FirstName, LastName, E-mail. Por exemplo, terminar o atributo como “e-mail” em vez de “E-mail” pode causar esses erros.

Esses erros também podem ocorrer se a assertiva SAML não contém o e-mail do usuário no elemento Assunto > NameId (ao usar o rastreador de SAML, deve ter o formato emailAddress e o e-mail real como texto como valor).  

Se você precisar de ajuda do suporte da Adobe, inclua um rastreio SAML.

 

Erro “O emissor na resposta SAML não correspondeu ao emissor configurado para o provedor de identidade”

O emissor do IDP na assertiva de SAML é diferente daquele que foi configurado no SAML de entrada. Procure por erros de ortografia (tal como htpp vs. https). Ao verificar a sequência de caracteres do emissor IDP com o sistema de SAML cliente, você está procurando uma correspondência EXATA com a sequência de caracteres fornecida. Esse erro às vezes ocorre porque há uma barra ausente no final.

Se você precisar de ajuda com este erro, forneça um rastreio e valores de SAML que você inseriu no painel Adobe.

Erro “A assinatura digital na resposta SAML não foi validada com o certificado do provedor de identidade”

Provavelmente o arquivo do certificado está incorreto e precisará ser recarregado. Isso normalmente acontece após uma alteração ter sido feita e o administrador referencia o arquivo cert incorreto.Verifique também o tipo de formato (precisa ser no formato PEM para ADDFS).

Erro “A hora atual está antes da faixa de hora especificada nas condições da assertiva”

Windows:

Corrija o relógio do sistema ou ajuste o valor da faixa de tempo.

Definição da hora do sistema:

Verifique o relógio do sistema com este comando:

w32tm /query /status

Você pode corrigir o relógio do sistema no Windows server com o seguinte comando:

w32tm /resync

Se o relógio do sistema estiver definido corretamente, talvez seja necessário criar a tolerância para uma diferença entre o IdP e o sistema para o qual ele está autenticando.

Faixa do relógio

Comece definindo o valor permitido para a faixa para 2 minutos. Verifique se você é capaz de se conectar e, a seguir, aumente ou diminuir o valor dependendo do resultado. Localize detalhes completos Base de Conhecimento da Microsoft da Microsoft

Para resumir, a partir do Powershell você pode executar os seguintes comandos:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Apenas para ver quais eram os valores originais
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Defina a faixa para 2 minutos

onde "urn:party:sso" é um dos identificadores de sua pessoa confiável

Observação: você pode usar o Get-ADFSRelyingPartyTrust cmdlet sem parâmetros obter todos os objetos de sua pessoa confiável.

Sistemas com base no Unix:

Certifique-se de que o relógio do sistema esteja definido corretamente, por exemplo, com o seguinte comando:

ntpdate -u pool.ntp.org

O destinatário especificado no SubjectConfirmation não corresponde a ID de seu de provedor de serviços de identidade

Verifique os atributos já que eles precisam corresponder exatamente a seguinte capitalização - FirstName, LastName, E-mail. Esta mensagem de erro pode significar que um dos atributos tem a capitalização incorreta, tal como o “-mail” em vez de “E-mail”. Verifique também o valor do destinatário já que ele deveria referenciar a sequência de caracteres ACS.

String ACS

Erro 401 - Credenciais não autorizadas

Esse erro ocorre quando o aplicativo não suporta o login Federated e deve efetuar o login como uma Adobe ID. FrameMaker, RoboHelp e Captivate são exemplos de aplicativos com este requisito.

Erro “Falha no login do SAML de entrada com a mensagem: A resposta SAML não continha nenhuma assertiva”.

Verifique o fluxo de trabalho de login. Se você for capaz de acessar a página de login em outra máquina ou na rede, mas não internamente, pode haver uma sequência de caracteres de agente de bloqueio. Também, execute um rastreio SAML e confirme que Nome, Sobrenome e Nome do usuário estejam como corretamente formatados como um endereço de e-mail no assunto de SAML.

Erro 400 - Solicitação incorreta / Erro “O status da solicitação SAML não teve êxito" / Falha na validação da certificação SAML

Erro 400 - Solicitação incorreta

Valide que a assertiva SAML correta esteja sendo enviada:

  • Valide que o provedor de identidade passe os seguintes atributos (diferencia letras maiúsculas de minúsculas) na assertiva SAML:  FirstName, LastName e E-mail. Se esses atributos não estão configurados no IdP para serem enviados como parte da configuração do conector SAML 2.0, a autenticação não funcionará.
  • Não tendo um elemento NameID no assunto. Valide que o elemento Assunto contém um elemento NameId. Deve ser igual ao atributo E-mail que deve ser o endereço de e-mail do usuário que você desejar autenticar.
  • Erros ortográficos, especialmente os menos identificados, tal como https vs http.
  • Valide que o certificado correto foi fornecido. O IDPs devem estar configurados para utilizar a solicitações/respostas SAML descompactadas. O protocolo de entrada de Okta SAML apenas funcionará com as configurações descompactados (configurações não compactadas).

Um utilitário tal como um SAML Tracer para o Firefox pode ajudar a desembalar a assertiva e a exibi-la para a inspeção. Se você precisar de ajuda do suporte da Adobe, será solicitado a fornecer esse arquivo. 

O exemplo funcional abaixo pode ajudar a corretamente formatar sua assertiva SAML:

Download

Com o Microsoft ADFS:

  1. Cada conta do Active Directory deve ter um endereço de e-mail listado no Active Directory para fazer o login com êxito em (registro de eventos: A resposta de SAML não tem um NameId na assertiva). Verifique isso primeiro.
  2. Acesse o painel.  
  3. Clique na guia Identidade e no domínio.
  4. Clique em Editar configuração.
  5. Localize o vínculo de IDP. Alterne para HTTP-POST e, a seguir, salve. 
  6. Teste novamente a experiência de login.
  7. Se funcionar e, daqui para frente você preferir alternar de volta ao HTTP-REDIRECT e recarregar novamente os metadados no ADFS.

Com outros IdPs:

  1. Ter o erro 400 significa que um login bem-sucedido foi rejeitado por seu IdP.
  2. Verifique os registros do seu IdP quanto a origem do erro.
  3. Corrija o problema e tente novamente.

Configurar o Microsoft ADFS

Consulte nosso guia passo a passo para configurar o Microsoft ADFS.

Se um cliente Mac tiver uma janela em branco na Creative Cloud, verifique se o agente usuário “Creative Cloud” é confiável.

Configurar o Microsoft Azure

Consulte nosso guia passo a passo para configurar o Microsoft Azure.

Configurar o OneLogin

Consulte nosso guia passo a passo para configurar o OneLogin.

Configurar o Okta

Consulte nosso guia passo a passo para configurar o Okta.

Esta obra está licenciada sob uma licença não adaptada da Creative Commons Attribution-Noncommercial-Share Alike 3.0  As publicações do Twitter™ e do Facebook não são cobertas pelos termos do Creative Commons.

Avisos legais   |   Política de privacidade online