Обзор

При попытке выполнить вход в продуктах, службах или мобильных приложениях Adobe посредством Federated ID (службы единого входа) появляется одно из следующих сообщений об ошибке.

После успешной настройки входа посредством технологии единого входа (SSO) на Административной консоли Adobe обязательно щелкните параметр «Загрузить метаданные» и сохраните файл метаданных SAML XML на компьютер.Ваш поставщик IdP требует, чтобы для этого файла была включена система единого входа.Необходимо правильно импортировать в поставщик IdP данные о конфигурации в формате XML. Это необходимо для интеграции SAML с вашим IdP — убедитесь в правильности конфигурации данных.

Ниже приведено несколько распространенных проблем с конфигурацией:

  • Формат сертификата не соответствует PEM.
  • Работают только сертификаты с расширением .cer, .pem и .cert.
  • Сертификат зашифрован.
  • Сертификат имеет формат одной строки. Требуется сертификат в формате нескольких строк.
  • Проверка аннулирования сертификата включена (в настоящее время не поддерживается).
  • Издатель IdP в SAML отличается от заданного на Административной консоли (например, из-за ошибки при написании, отсутствующих символов, https и http).

Если у вас возникли вопросы об использовании файла метаданных SAML в формате XML для настройки IdP, обратитесь непосредственно к своему поставщику IdP за инструкциями, которые различаются в зависимости от конкретного поставщика.

Некоторые примеры особых поставщиков IdP (неполный список — подойдет любой поставщик IdP, соответствующий стандарту SAML 2):

Okta: чтобы правильно настроить данные, переместите требуемую информацию из XML-файла в подходящие поля интерфейса вручную.

Ping Federate: загрузите XML-файл или введите данные в подходящие поля интерфейса.

Microsoft ADFS: ваш сертификат должен быть в формате PEM, однако для ADFS используется формат по умолчанию DER. Можно преобразовать сертификат с помощью команды openssl, доступной в системе on OS X, Windows или Linux, как показано ниже:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

После выполнения описанного выше шага переименуйте сертификат .cer.

Кроме того, убедитесь в том, что при наличии нескольких сертификатов используется подходящий. Он должен совпадать с сертификатом, с помощью которого будут подписываться запросы. (Например, если для подписания запросов используется сертификат для подписания маркеров, его и нужно использовать.) Проверка аннулирования сертификата должна быть отключена.

Если вы максимально постарались настроить свой поставщик IdP, попробуйте выполнить одно или несколько следующих действий, в зависимости от появившегося сообщения об ошибке.

Ссылка «Загрузить метаданные»

Основные методы устранения проблем

Проблемы с системой единого входа часто вызваны самыми обычными ошибками, которые легко пропустить. В частности, проверьте, выполняются ли следующие условия:

  • Пользователю присвоена конфигурация продукта с правами.
  • Имя, фамилия и электронный адрес пользователя отправляются SAML точно в том же виде, в котором отображаются на информационной панели предприятия, и присутствуют в SAML с правильными метками.
  • Проверьте все записи на Административной консоли и IdP на наличие орфографических или синтаксических ошибок.
  • Приложение Creative Cloud для настольных компьютеров обновлено до последней версии.
  • Пользователь выполняет вход в соответствующем местоположении (приложение CC для настольных компьютеров, приложение CC или веб-сайт adobe.com)

Сообщение «Произошла ошибка» с кнопкой «Повторите попытку»

Произошла ошибка. ПОВТОРИТЕ ПОПЫТКУ

Как правило, эта ошибка возникает после того успешной аутентификации пользователя и переадресации ответа на аутентификацию из Okta в Adobe.

На Административной консоли Adobe проверьте следующее:

На вкладке «Идентификация»:

  • Убедитесь, что связанный домен активирован.

На вкладке «Продукты»:

  • Убедитесь, что пользователь связан с правильным псевдонимом продукта на домене, который указан вами как имеющий конфигурацию Federated ID.
  • Убедитесь, что псевдониму продукта присвоены надлежащие права.

На вкладке «Пользователи»:

  • Убедитесь, что имя пользователя указано в виде полного адреса электронной почты.

Ошибка при входе в систему «Доступ запрещен»

Ошибка «Доступ запрещен»

Возможные причины этой ошибки:

  • Имя, фамилия, или адрес электронной почты, передаваемые в утверждении SAML, не соответствуют информации, введенной на Административной консоли.
  • Пользователь не связан с подходящим продуктом, или продукт не связан с подходящими правами.
  • Имя пользователя SAML по формату отличается от адреса электронной почты. Все пользователи в процессе настройки должны находиться на указанном вами домене.
  • Ваш клиент единого входа использует JavaScript в процессе входа в систему, а вы пытаетесь войти в клиент, не поддерживающий JavaScript (например, Creative Cloud Packager).

Чтобы устранить эту проблему, выполните следующие действия:

  • Проверьте конфигурацию информационной панели для пользователя: сведения о пользователе и конфигурацию продукта.
  • Запустите трассировку SAML и удостоверьтесь в том, что отправляемые данные соответствуют данным на информационной панели, и затем исправьте несоответствия при их наличии.

Ошибка «В настоящее время другой пользователь находится в системе»

Ошибка «В настоящее время другой пользователь находится в системе» возникает, когда атрибуты, отправленные в утверждении SAML, не соответствуют адресу электронной почты, использовавшегося, чтобы запустить процесс входа в систему.

Проверьте атрибуты в утверждении SAML и убедитесь в том, что они точно соответствуют идентификатору, который пытается применить пользователь, а также точно соответствуют данным на Административной консоли.

Ошибка «Сбой вызова как правила системы» или «Создание пользователя не удалось»

Сообщение об ошибке «Сбой вызова как правила системы» (с последующим кодом) или «Создание пользователя не удалось» указывает на наличие проблемы с атрибутами SAML.Убедитесь в том, что в именах атрибутов используется правильный регистр (имена чувствительны к регистру): FirstName, LastName, Email. Например, при использовании атрибута email вместо Email может привести к возникновению ошибок.

Эти ошибки могут также возникать, если утверждение SAML не содержит адрес пользователя в разделе Subject > Элемент NameId (при использовании SAML Tracer формат должен быть следующим: emailAddress, а настоящий адрес электронной почты должен использоваться как текстовое значение.  

Если вам нужна помощь службы поддержки Adobe, включите трассировку SAML.

 

Ошибка «Издатель в ответе SAML не соответствует издателю, заданному для поставщика IdP»

Издатель IdP в утверждении SAML отличается от издателя, заданного во входящем SAML. Поищите опечатки (например, http и https). При сопоставлении строки издателя IdP с системой SAML клиента требуется ТОЧНОЕ соответствие строке, которую он предоставил. Эта проблема иногда возникает, если в конце строки отсутствует косая черта.

Если вам нужна помощь в устранении этой ошибки, обеспечьте трассировку SAML и введенные значения на информационной панели Adobe.

Ошибка «Цифровая подпись в ответе SAML не соответствует сертификату поставщика IdP»

Файл сертификата, скорее всего, содержит ошибки, поэтому его требуется загрузить повторно. Эта проблема обычно возникает после внесения изменения, когда администратор ссылается на недопустимый файл сертификата. Также проверьте тип формата (для ADFS требуется формат PEM).

Ошибка «Текущее время раньше временного диапазона, указанного в условиях утверждения»

Windows:

Исправьте системные часы или измените значение временного смещения.

Установка системного времени:

Проверьте системные часы с помощью этой команды:

w32tm /query /status

Системные часы можно исправить в Windows Server с помощью следующей команды:

w32tm /resync

Если системные часы установлены верно, можно создать допуск для различия между IdP и системой — объектом аутентификации.

Временное смещение

Для начала установите значения для допустимого временного смещения, равное 2 минутам. Проверьте, удастся ли вам подключиться, а затем либо увеличьте либо уменьшите значение в зависимости от результата. Подробная информация приведена в базе знаний Майкрософт

В итоге в Powershell можно выполнить следующие команды:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Просто чтобы посмотреть исходные значения
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2 #Установите для смещения значение, равное 2 минутам

где urn:party:sso — это один из идентификаторов для вашей проверяющей стороны

Примечание. Для получения всех доверенных объектов проверяющей стороны можно использовать команду Get-ADFSRelyingPartyTrust cmdlet без параметров.

Системы на базе UNIX:

Убедитесь в том, что системные часы правильно настроены — например, с помощью следующей команды:

ntpdate -u pool.ntp.org

Получатель, указанный для параметра SubjectConfirmation, не соответствует нашему идентификатору сущности поставщика услуг

Проверьте атрибуты, поскольку они должны точно соответствовать следующему формату: FirstName, LastName, Email. Это сообщение об ошибке может означать, что один из атрибутов указан в неправильном регистре, например email вместо Email. Также проверьте значение получателя — оно должно ссылаться на строку ACS.

Строка ACS

Ошибка 401: неавторизованные учетные данные

Эта ошибка возникает, если приложение не поддерживает вход посредством Federated — когда пользователю необходимо войти в систему с помощью Adobe ID. Framemaker, RoboHelp и Captivate — примеры приложений с таким требованием.

Ошибка «Не удалось выполнить вход во входящий SAML с сообщением: Ответ SAML не содержал утверждений»

Ознакомьтесь с процессом входа в систему. Если вам не удается получить доступ к странице входа на другом компьютере или в другой сети (не во внутренней сети), проблема может заключаться в строке блокировки агента. Кроме того, запустите трассировку SAML и убедитесь в том, что в теме SAML присутствует имя, фамилия и имя пользователя в виде адреса электронной почты в правильном формате.

Ошибка 400: неверный запрос / Ошибка «Неудачный статус запроса SAML» / «Сертификация SAML не удалась

Ошибка 400: неверный запрос

Удостоверьтесь в том, что отправляется правильное утверждение SAML:

  • Удостоверьтесь в том, что поставщик IdP прислал вам следующие атрибуты (чувствительны к регистру) в утверждении SAML: FirstName, LastName, Email. Если эти атрибуты не настроены в IdP для отправки в составе конфигурации SAML 2.0 Connector, аутентификация не удастся.
  • Отсутствие элемента NameID в теме. Проверьте, содержит ли элемент «Тема» элемент NameId. Он должен совпадать с атрибутом Email, который обозначает адрес электронной почты пользователя, для которого проводится аутентификация.
  • Ошибки в написании, которые особенно легко не заметить, например https и http.
  • Убедитесь в том, что предоставлен правильный сертификат. Поставщики IdP должны поддерживать использование несжатых запросов и ответов SAML. Входящий протокол Okta Inbound SAML Protocol работает только с несжатыми настройками (которые не были сжаты).

Такая утилита, как SAML Tracer для Firefox, может помочь в распаковке утверждения и его просмотра для проверки. Обращаясь в службу поддержки Adobe, вы получите запрос на отправку данного файла. 

Руководствуйтесь следующим примером, чтобы правильно оформить утверждение SAML:

Загрузить

С Microsoft ADFS:

  1. Для успешного входа каждой учетной записи Active Directory должен быть присвоен адрес электронной почты, указанный в Active Directory (журнал событий: В утверждении ответа SAML отсутствует NameId). Сначала обратитесь к этому разделу.
  2. Откройте информационную панель
  3. Перейдите на вкладку «Идентификация» и выберите домен.
  4. Нажмите кнопку «Изменить конфигурацию».
  5. Найдите привязку IDP. Переключитесь на HTTP-POST, а затем сохраните изменения. 
  6. Повторите попытку входа.
  7. Если у вас получилось войти, но вы предпочитаете использовать предыдущую конфигурацию, просто переключитесь обратно на HTTP-REDIRECT и повторно загрузите метаданные в ADFS.

С другими IdP:

  1. Возникновение ошибки 400 означает, что ваш поставщик IdP отклонил вход.
  2. Проверьте журналы IdP и попытайтесь найти источник ошибки.
  3. Устраните неполадку и повторите попытку.

Настройка Microsoft ADFS

Обратитесь к пошаговому руководству по настройке Microsoft ADFS.

Если у клиента Mac имеется пустое окно в Creative Cloud, убедитесь в том, что вы используется надежный агент пользователя Creative Cloud.

Настройка Microsoft Azure

Обратитесь к пошаговому руководству по настройке Microsoft Azure.

Настройка OneLogin

Обратитесь к пошаговому руководству по настройке OneLogin.

Настройка Okta

Обратитесь к пошаговому руководству по настройке Okta.

Эта работа лицензируется в соответствии с лицензией Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  На посты, размещаемые в Twitter™ и Facebook, условия Creative Commons не распространяются.

Правовые уведомления   |   Политика конфиденциальности в сети Интернет