Prezentare generală

Încercarea de a vă autentifica pentru produse, servicii sau aplicații mobile Adobe cu Federated ID (SSO) conduce la unul dintre următoarele mesaje de eroare.

După configurarea reușită a SSO în cadrul Consolei de administrator Adobe, asigurați-vă că ați făcut clic pe Descărcare metadate și ați salvat fișierul pentru metadate SAML XML pe computerul dvs.Furnizorul dvs. de identitate are nevoie de acest fișier pentru a permite sign-on-ul unic.Trebuie să importați detaliile de configurare XML în mod corespunzător la nivelul furnizorului de identitate (IdP). Acest aspect este necesar pentru integrarea SAML în IdP și va asigura faptul că datele sunt configurate în mod corespunzător.

Următoarele reprezintă câteva probleme comune de configurare:

  • Certificatul se află într-un format lângă PEM.
  • Certificatul are o extensie pe lângă .cer. .pem și .cert nu funcționează.
  • Certificatul este criptat.
  • Certificatul are un format cu un singur rând. Este necesar un format cu mai multe rânduri.
  • Verificarea revocării certificatului este activată (nu este compatibilă în prezent).
  • Emitentul IdP din SAML nu este același ca cel specificat în consola administratorului (de exemplu, eroare de ortografie, caractere lipsă, https comparativ cu http).

Dacă aveți întrebări legate de modul de utilizare a fișierului cu metadate SAML XML pentru a vă configura IdP, consultați IdP direct pentru instrucțiuni care pot varia în funcție de IdP.

Unele exemple pentru IdP specifice (nu este o listă exhaustivă — oricare IdP conform cu SAML 2 este potrivit):

Okta: Preluați manual informațiile necesare din fișierul XML și introduceți-le în câmpurile UI corespunzătoare pentru a configura datele în mod corespunzător.

Ping Federate: Încărcați fișierul XML sau introduceți datele în câmpurile UI corespunzătoare.

Microsoft ADFS: Certificatul dvs. trebuie să fie în format PEM, însă formatul implicit pentru ADFS este DER. Puteți converti certificatul folosind comanda openssl, disponibilă pe OS X, Windows sau Linux după cum urmează:

openssl x509 -certificat de intrare.cer - certificat de ieșire.pem -formular de ieșire PEM

După efectuarea pasului de mai sus, redenumiți certificatul .cer.

Asigurați, de asemenea, faptul că este utilizat certificatul corect dacă aveți minim două; trebuie să fie același care va asigura semnarea cererilor. (De exemplu, dacă certificatul de „semnare cu token” asigură semnarea cererilor, acela este certificatul care trebuie utilizat.) Verificarea revocării certificatului trebuie să fie dezactivată.

Dacă v-ați configurat IdP conform celor mai bune cunoștințe ale dumneavoastră, încercați una sau mai multe dintre următoarele în funcție de eroarea primită.

Link de descărcare a metadatelor

Depanare de bază

Problemele legate de sign-on-ul unic sunt adesea cauzate de erori elementare care sunt ușor de trecut cu vederea. Verificaţi, în special, următoarele:

  • Utilizatorul este alocat unei configurații a produsului cu un anumit drept.
  • Prenumele, numele și adresa de e-mail ale utilizatorului sunt trimite către SAML în mod precis așa cum apar pe tabloul de bord pentru companii și sunt prezente în SAML cu etichetarea corectă.
  • Verificați toate intrările din consola administratorului și furnizorul dvs. de identitate pentru erori de ortografie sau sintaxă.
  • Aplicația pentru desktop Creative Cloud a fost actualizată la cea mai recentă versiune.
  • Utilizatorul se autentifică în locul corect (aplicația pentru desktop CC, aplicația CC sau adobe.com)

Eroarea „S-a produs o eroare” cu butonul etichetat „Reîncercare”

S-a produs o eroare - REÎNCERCARE

Această eroare apare de obicei după ce autentificarea utilizatorului a reușit și Okta a transmis cu succes răspunsul de autentificare către Adobe.

În Consola administratorului Adobe, validați următoarele:

Pe fila Identitate:

  • Asigurați-vă că domeniul asociat a fost activat.

Pe fila Produse:

  • Asigurați-vă că utilizatorul este asociat cu numele corect al produsului și se află în domeniul care ați susținut că era configurat ca Federated ID.
  • Asigurați-vă că numele produsului are drepturile corecte atribuite acestuia.

Pe fila Utilizatori:

  • Asigurați-vă că numele de utilizator al utilizatorului este sub forma unei adrese complete de e-mail.

Eroarea „Acces refuzat” la autentificare

Eroarea Acces refuzat

Posibile cauze pentru această eroare:

  • Prenumele, numele sau adresa de e-mail trimis(ă) în aserțiunea SAML nu se potrivește cu informațiile introduse în consola administratorului.
  • Utilizatorul nu este asociat cu produsul corespunzător sau produsul nu este asociat cu dreptul corect.
  • Numele de utilizator SAML pare a fi într-o formă diferită de cea a unei adrese de e-mail. Toți utilizatorii trebuie să se afle în domeniul solicitat de dvs. drept parte din procesul de configurare.
  • Clientul dvs. SSO utilizează Javascript drept parte din procesul de autentificare și încercați să vă autentificați la un client care nu este compatibil cu Javascript (precum Creative Cloud Packager).

Modul de soluționare:

  • Verificați configurația tabloului de bord pentru utilizator: informațiile despre utilizator și configurația produsului.
  • Rulați un instrument de urmărire SAML și validați faptul că informațiile trimise se potrivesc cu tabloul de bord, iar apoi corectați oricare inconsecvențe.

Eroarea „Este autentificat în acest moment un alt utilizator”

Eroarea „Este autentificat în acest moment un alt utilizator” apare când atributele trimise în aserțiunea SAML nu se potrivesc cu adresa de e-mail care a fost utilizată pentru a începe procesul de autentificare.

Verificați atributele din aserțiunea SAML și asigurați-vă că se potrivesc perfect cu ID-ul pe care utilizatorul încearcă să-l folosească și, de asemenea, că se potrivesc perfect cu consola administratorului.

Eroarea „Nu s-a putut efectua un apel ca principiu al sistemului” sau „A eșuat procesul de creare a utilizatorului”

Eroarea „Nu s-a putut efectua un apel ca principiu al sistemului” (urmată de un cod aleatoriu) sau „A eșuat procesul de creare a utilizatorului” indică o problemă cu atributele SAML.Cazul numelor atributelor trebuie să fie corect (sensibil la litere mari și mici, denumire): prenume, nume, e-mail. De exemplu, finalizarea atributului cu „e-mail” în loc de „E-mail” poate cauza aceste erori.

Aceste erori pot de asemenea să apară dacă aserțiunea SAML nu conține adresa de e-mail a utilizatorului în Subiect > element ID nume (când utilizați instrumentul de urmărire SAML, trebuie să aibă formatul adresă de e-mail și e-mailul efectiv ca text drept valoare).  

Dacă aveți nevoie de ajutor din partea echipei de asistență Adobe, includeți și un instrument de urmărire SAML.

 

Eroarea „Emitentul din răspunsul SAML nu s-a potrivit cu emitentul configurat pentru furnizorul de identitate”

Emitentul IDP din aserțiunea SAML este diferit de cel care a fost configurat în SAML de intrare. Fiți atenți la greșelile de ortografie (precum http comparativ cu https). Când verificați șirul emitentului IDP cu sistemul SAML al clientului, căutați o corespondență perfectă cu șirul oferit. Această problemă survine deoarece la final lipsea o bară oblică.

Dacă aveți nevoie de asistență pentru această eroare, oferiți un instrument de urmărire SAML și valorile introduse în tabloul de bord Adobe.

Eroarea „Semnătura digitală în răspunsul SAML nu a validat certificatul furnizorului de identitate”

Fișierul certificatului este cel mai probabil incorect și trebuie să fie reîncărcat. Această problemă apare de obicei după o modificare și după ce administratorul face trimitere la fișierul de certificare incorect.Verificați, de asemenea, tipul de format (trebuie să aibă formatul PEM pentru ADFS).

Eroarea „Ora actuală este anterioară intervalului de timp specificat în condițiile aserțiunii”

Windows:

Ajustați ora sistemului sau ajustați valoarea de abatere temporală

Setarea orei sistemului:

Verificați ora sistemului cu această comandă:

w32tm /interogare /stare

Puteți corecta ora sistemului pe serverul Windows cu următoarea comandă:

w32tm /resincronizare

Dacă ora sistemului este setată corect, este posibil să fie necesar să creați abaterea pentru o diferență între IdP și sistemul care îl autentifică.

Abaterea orei

Începeți prin a seta valoarea permisă a abaterii la 2 minute. Verificați dacă puteți conecta și apoi mări sau reduce valoarea în funcție de rezultat. Puteți găsi detalii complete în baze de cunoştinţe Adobe.

Pentru a rezuma, de la Powershell puteți rula următoarele comenzi:

Get-ADFSRelyingPartyTrust –identificator “urn:party:sso”  #Doar pentru a observa care sunt valorile inițiale
Set-ADFSRelyingPartyTrust –identificator țintă “urn:party:sso” –Nu înainte de abatere 2  #Setați abaterea la 2 minute

unde "urn:party:sso" este unul dintre identificatori pentru partea dvs. de încredere

Observație: Puteți utiliza Get-ADFSRelyingPartyTrust cmdlet fără niciun parametru pentru a obține toate obiectele părții de încredere.

Sistemele bazate pe UNIX:

Asigurați-vă că ora sistemului este setată corect, de exemplu, cu următoarea comandă:

ntpdate -u pool.ntp.org

Destinatarul specificat în confirmarea subiectului nu s-a potrivit cu id-ul de entitate a prestatorului de servicii

Verificați atributele deoarece trebuie să se potrivească exact cu următorul caz: prenume, nume, E-mail. Acest mesaj de eroare poate indica faptul că unul dintre atribute are cazul incorect, precum „e-mail” în loc de „E-mail”. Verificați, de asemenea, valoarea destinatarului — trebuie să facă trimitere la șirul ACS.

Șirul ACS

Eroarea 401 acreditări neautorizate

Această eroare se produce când aplicația nu este compatibilă cu autentificarea federalizată și este necesară o autentificare cu Adobe ID. Framemaker, RoboHelp și Captivate sunt exemple de aplicații cu această cerință.

Eroarea „Autentificarea SML de intrare a eșuat cu mesajul: răspunsul SAML nu a conținut nicio aserțiune”

Verificați fluxul de lucru de autentificare. Dacă puteți accesa pagina de autentificare pe un alt echipament sau într-o altă rețea însă nu la nivel intern, problema poate fi un șir de agenți de blocare. De asemenea, rulați un instrument de urmărire SAML și confirmați că prenumele, numele și numele de utilizator și o adresă de e-mail cu format corect se află în subiectul SAML.

Eroarea 400 solicitare nepermisă / Eroarea „Starea cererii SAML nu a fost reușită”/Validarea certificării SAML a eșuat

Eroarea 400 solicitare nepermisă

Validați faptul că este trimisă aserțiunea SAML corespunzătoare:

  • Validați faptul că furnizorul de identitate include următoarele atribute (sensibil la litere mari și mici) în aserțiunea SAML: prenume, nume, E-mail. Dacă aceste atribute nu sunt configurate în IdP ce trebuie transmis drept parte din configurația conectorului SAML 2.0, autentificarea nu va fi funcțională.
  • Lipsa unui element ID nume în subiect. Validați faptul că elementul subiect conține un element ID nume. Trebuie să fie același cu atributul E-mail care trebuie să fie adresa de e-mail a utilizatorului pe care doriți să-l autentificați.
  • Erorile de ortografie, în special, cele omise cu ușurință precum https comparativ cu http.
  • Validați faptul că a fost furnizat certificatul corect. IDP trebuie configurați pentru a utiliza cererea/răspunsurile SAML necomprimate. Protocolul SAML de intrare Okta este compatibil doar cu setările necomprimate (setări fără comprimare).

Un utilitar precum instrumentul de urmărire SAML pentru Firefox poate contribui la despachetarea aserțiunii și afișarea acesteia pentru inspecție. Dacă aveți nevoie de ajutor din partea echipei de asistență Adobe, vi se va solicita acest fișier.

Următorul exemplu de lucru poate ajuta la formatarea corectă a aserțiunii dvs. SAML:

Descărcare

Cu Microsoft ADFS:

  1. Fiecare cont Active Directory trebuie să aibă o adresă de e-mail enumerată în Active Directory pentru autentificare reușită (jurnal de evenimente: Răspunsul SAML nu include ID nume în aserțiune). Verificaţi mai întâi aceasta.
  2. Accesați tabloul de bord.
  3. Faceți clic pe fila Identitate și domeniu.
  4. Faceți clic pe Editare configurație.
  5. Localizați legarea IDP. Treceți la HTTP-POST, iar apoi salvați. 
  6. Retestați experiența de autentificare.
  7. Dacă este funcțională însă preferați setarea anterioară, reveniți pur și simplu la HTTP-REDIRECT și reîncărcați metadatele în ADFS.

Cu alți IdP:

  1. Manifestarea erorii 400 indică faptul că o autentificare reușită a fost respinsă de IdP dvs.
  2. Verificați jurnalele IdP dvs. pentru sursa erorii.
  3. Corectați problema și reîncercați.

Configurarea Microsoft ADFS

Consultați ghidul pas cu pas pentru configurarea Microsoft ADFS.

Dacă un client Mac are o fereastră fără conținut în Creative Cloud, asigurați-vă că agentul utilizator „Creative Cloud” este de încredere.

Configurarea Microsoft Azure

Consultați ghidul pas cu pas pentru configurarea Microsoft Azure.

Configurarea OneLogin

Consultați ghidul pas cu pas pentru configurarea OneLogin.

Configurarea Okta

Consultați ghidul pas cu pas pentru configurarea Okta.

Această lucrare este oferită sub licență Atribuire-Necomercial-FărăModificări 3.0 Ne-adaptată Creative Commons  Postările pe Twitter™ şi Facebook nu sunt acoperite de condiţiile de licenţiere Creative Commons.

Prevederi legale   |   Politică de confidențialitate online