Руководство пользователя Отмена

Устранение ошибок входа с помощью Federated ID (SSO)

Исправьте распространенные ошибки проверки подлинности, проверьте конфигурации и устраните проблемы со входом в систему, связанные с Federated ID (SSO) в продуктах Adobe. Получите рекомендации по устранению ошибок SAML, проблем с сертификатами и других трудностей с проверкой подлинности.

Примечание.

Если ваша организация настроила единый вход через Google Federation или Microsoft Azure Sync, см. следующие статьи:

Обзор

После успешной настройки SSO в Adobe Admin Console нажмите Загрузить файл метаданных Adobe и сохраните файл метаданных SAML XML на свой компьютер. Этот файл необходим поставщику удостоверений для включения сервиса единого входа. Импортируйте подробные сведения о конфигурации XML в свой поставщик удостоверений (IdP). Это необходимо для интеграции SAML с вашим IdP — убедитесь в правильности конфигурации данных.

При наличии вопросов о том, как использовать файл метаданных SAML XML для настройки вашего IdP, обращайтесь непосредственно к своему IdP за инструкциями, которые варьируются у каждого IdP.

Загрузить файл метаданных Adobe

Устранение базовых проблем

Проблемы с системой единого входа часто вызваны простыми ошибками, которые легко не заметить. В частности, проверьте описанное ниже.

  • Пользователю назначается профиль продукта с предоставлением прав.
  • Имя пользователя, отправленное в SAML, совпадает с именем пользователя на корпоративной информационной панели.
  • Проверьте все записи в Admin Console и у поставщика удостоверений на наличие орфографических или синтаксических ошибок.
  • Приложение Creative Cloud для настольных ПК следует обновить до актуальной версии.
  • Пользователь входит в правильный объект (приложение Creative Cloud для настольных ПК, приложение Creative Cloud или Adobe.com)

Решения для других распространенных ошибок

Ошибка: «Произошла ошибка» с кнопкой «Повторить попытку»

Эта ошибка обычно возникает после того, как аутентификация пользователя прошла успешно и Okta успешно отправила ответ при аутентификации в Adobe.

В Adobe Admin Console проверьте описанное ниже.

На вкладке «Удостоверение»:

  • убедитесь, что связанный домен был активирован.

На вкладке «Продукты»:

  • убедитесь, что пользователь связан с правильным псевдонимом продукта в домене, который, как заявлено, будет настроен как Federated ID;
  • убедитесь, что для псевдонима продукта назначены соответствующие права.

На вкладке «Пользователи»:

  • убедитесь, что имя пользователя имеет форму полного адреса электронной почты.

Ошибка: «Отказано в доступе» при входе в систему

Возможные причины ошибки:

  • Имя или адрес электронной почты пользователя, отправляемые в утверждении SAML, не соответствуют сведениям, введенным в Admin Console.
  • Пользователь не связан с нужным продуктом, или продукт не связан с соответствующим правом.
  • Имя пользователя SAML воспринимается как нечто иное, чем адрес электронной почты. Все пользователи должны находиться в домене, заявленном вами в процессе настройки.
  • Ваш клиент SSO использует JavaScript как часть процесса входа в систему, и вы пытаетесь войти в клиент, который не поддерживает JavaScript.

Решение проблемы:

  • Проверьте имя пользователя и адрес электронной почты в Adobe Admin Console и сопоставьте значение с атрибутами NameID и Email в журналах SAML.
  • Проверьте конфигурацию панели управления для пользователя: информацию о пользователе и профиль продукта.
  • Запустите трассировку SAML и убедитесь, что отправляемая информация соответствует данным информационной панели, а затем исправьте все несоответствия.

Ошибка: «Другой пользователь в настоящее время вошел в систему»

Ошибка «Другой пользователь в настоящее время вошел в систему» возникает, когда атрибуты, отправленные в утверждении SAML, не соответствуют адресу электронной почты, используемому для запуска процесса входа в систему.

Запустите трассировку SAML и убедитесь, что адрес электронной почты пользователя для входа соответствует следующему:

  • адрес электронной почты пользователя, указанный в Admin Console;
  • имя пользователя, переданное обратно в поле NameID утверждения SAML.

Ошибка: «Публикатор в ответе SAML не соответствует публикатору, настроенному для поставщика удостоверений»

Публикатор IDP в утверждении SAML отличается от настроенного в Inbound SAML. Проверьте наличие опечаток (например, http вместо https). При проверке строки «Публикатор IDP» с помощью системы клиента SAML вы ищите ТОЧНОЕ соответствие с предоставленной строкой. Эта проблема иногда возникает из-за отсутствия косой черты в конце.​​

Если требуется помощь в устранении этой ошибки, предоставьте трассировку SAML и значения, которые вы ввели на панели управления Adobe.

Ошибка: «Цифровая подпись в ответе SAML не подтверждена сертификатом поставщика удостоверений»

Эта проблема возникает, когда срок действия сертификата вашего каталога истек. Чтобы обновить сертификат, необходимо загрузить сертификат или метаданные у поставщика удостоверений и загрузить их в Adobe Admin Console.

Например, если вашим IdP является Microsoft AD FS, выполните действия, описанные ниже.

  1. Откройте приложение управления службами федерации AD FS на своем сервере и в папке AD FS> Сервис > Конечные точки выберите Метаданные федерации.

  2. С помощью браузера перейдите по URL-адресу, указанному для метаданных федерации, и загрузите файл. Например, https://<your AD FS hostname>/FederationMetadata/2007-06/FederationMetadata.xml.

    Примечание.

    При появлении примите любые предупреждения.

  3. На вкладке Настройки в Admin Console выберите Настройки удостоверенияКаталоги. Выберите каталог для обновления и нажмите Настроить на карте Провайдер SAML.

    Затем загрузите файл метаданных IdP и нажмите Сохранить.

Ошибка: «Текущее время предшествует диапазону времени, указанному в условиях утверждения»

Сервер IdP на базе Windows:

1. Убедитесь, что системные часы синхронизированы с сервером точного времени.

С помощью этой команды проверьте точность системных часов относительно времени вашего сервера; значение «Сдвиг фазы» должно составлять небольшую долю секунды:

w32tm /query /status /verbose

Можно выполнить немедленную повторную синхронизацию системных часов с сервером времени с помощью следующей команды:

w32tm /resync

Если системные часы установлены правильно и указанная выше ошибка по-прежнему отображается, может потребоваться отрегулировать настройку временного сдвига, чтобы увеличить допустимую разницу между часами сервера и клиента.

2. Увеличьте допустимую разницу в системных часах между серверами.

В окне Powershell с правами администратора установите допустимое значение сдвига равным 2 минутам. Проверьте, можете ли вы войти в систему, а затем увеличьте или уменьшите значение в зависимости от результата.

Определите текущую настройку временного сдвига для соответствующего отношения доверия с проверяющей стороной с помощью следующей команды:

Get-ADFSRelyingPartyTrust | Format-List -property Identifier,Name,NotBeforeSkew

Отношение доверия с проверяющей стороной определяется URL-адресом, представленном в поле «Идентификатор» выходных данных предыдущей команды для данной конкретной конфигурации. Этот URL-адрес также отображается в служебной программе управления ADFS в окне свойств для соответствующего отношения доверия с проверяющей стороной на вкладке «Идентификаторы» в поле «Отношение доверия с проверяющей стороной», как показано на снимке экрана ниже.

Установите временной сдвиг равным 2 минутам с помощью следующей команды, подставив соответствующий адрес идентификатора:

Set-ADFSRelyingPartyTrust –TargetIdentifier 'https://www.okta.com/saml2/service-provider/xxxxxxxxxxxxxxxxxxxx' –NotBeforeSkew 2  

Сервер IdP на базе UNIX

Убедитесь, что системные часы установлены правильно с помощью службы ntpd, вручную с помощью команды ntpdate из корневой оболочки или с помощью команды sudo, как показано ниже (обратите внимание, что если время смещено более чем на 0,5 с, то изменение в системные часы будет внесено не сразу, а постепенно). Убедитесь, что временная зона также настроена правильно.

# ntpdate -u pool.ntp.org

Примечание.

Это работает с поставщиками удостоверений, такими как Shibboleth.

Ошибка 401: «Неправомочные учетные данные»

Эта ошибка возникает, когда приложение не поддерживает федеративный вход и следует входить в систему под Adobe ID. FrameMaker, RoboHelp и Adobe Captivate — примеры приложений с таким требованием.

Ошибка: «Сбой входа в Inbound SAML с сообщением: ответ SAML не содержит утверждений»

​Проверьте последовательность действий при входе в систему.  Если вы можете получить доступ к странице входа на другом компьютере или сети, но не внутри системы, возможно, имеется блокирующая строка агента.  Кроме того, запустите трассировку SAML и убедитесь, что имя, фамилия и имя пользователя присутствуют в теме SAML в качестве правильно отформатированного адреса электронной почты.

Ошибка 400: «Неверный запрос», «Состояние запроса SAML не было успешным» или «Сбой проверки сертификата SAML»

Убедитесь, что отправляется соответствующее утверждение SAML.

  • Отсутствие элемента NameID в теме. Проверьте, чтобы элемент Subject содержал элемент NameID. Он должен быть равен атрибуту Email, который должен содержать адрес электронной почты пользователя, который хочет пройти проверку подлинности.
  • Опечатки, особенно часто допускаемые ошибки вроде https вместо http.
  • Проверьте, правильно ли указан сертификат. Поставщики удостоверений должны быть настроены для использования несжатых запросов и ответов SAML.

Такие программы, как SAML Tracer для Firefox, могут помочь в распаковке утверждений и их отображении для проверки. В случае обращения в службу поддержки клиентов Adobe вам понадобится этот файл. Дополнительные сведения см. в разделе Как выполнить трассировку SAML.

Демонстрационный пример, описанный ниже, может помочь правильно отформатировать утверждение SAML.

Загрузить

С Microsoft ADFS

  1. Каждая учетная запись Active Directory должна иметь адрес электронной почты, указанный в Active Directory для успешного входа в систему (журнал событий: ответ SAML не содержит NameId в утверждении). Сначала проверьте это.
  2. Доступ к панели инструментов
  3. Перейдите на вкладку «Удостоверение» и выберите домен.
  4. Нажмите «Изменить конфигурацию».
  5. Найдите привязку поставщика удостоверений. Установите «HTTP-POST» и сохраните. 
  6. Протестируйте вход в систему.
  7. Если это работает, но вы предпочитаете предыдущую настройку, просто установите обратно «HTTP-REDIRECT» и повторно загрузите метаданные в ADFS.

С другими поставщиками удостоверений

  1. Появление ошибки 400 означает, что ваш поставщик удостоверений отклонил успешный вход в систему.
  2. Найдите в журналах IdP причину ошибки.
  3. Устраните проблему и повторите попытку.

Ошибка 403: «Ошибка сертификата»

Ошибка 403: «Приложение не настроено для пользователя»

Обновите идентификатор объекта в консоли Google. Затем экспортируйте файл метаданных и загрузите его в Adobe Admin Console.

Ошибка: «Не удается получить доступ прямо сейчас» или «Не удается перейти отсюда туда».

Эта ошибка обычно возникает, когда организация включила политику условного доступа в IdP.

Если вы используете управляемые пакеты для развертывания продуктов, создайте управляемый пакет в Adobe Admin Console, выбрав вариант проверки подлинности через браузер. Затем разверните его на устройстве пользователя.

В противном случае пользователи могут открыть приложение Creative Cloud для настольных ПК и выбрать Войти в систему с помощью браузера в меню Справка.

Ошибка: «Приложение не назначено»

В этом случае администратор должен добавить пользователей в приложение Adobe SAML, созданное в их IdP. Узнайте, как создать приложение Adobe SAML в Google Admin Console или Microsoft Azure Portal.

Ошибка: «У вас нет доступа к данной службе. Обратитесь к своему ИТ-администратору, чтобы получить доступ или войти в систему с помощью Adobe ID»

Проверьте журналы SAML, поскольку имя пользователя или адрес электронной почты, отправляемые в утверждении SAML, не соответствуют сведениям, введенным в Admin Console.

Получайте помощь быстрее и проще

Новый пользователь?