Översikt

Försök att logga in till Adobes produkter, tjänster eller mobilprogram med Federated ID (SSO) resulterade i ett av följande felmeddelanden.

Efter att du har lyckats konfigurera SSO inom Adobe Admin Console ska du se till att klicka på Hämta metadata och spara SAML XML Metadata-filen på din dator.Din identitetsleverantör kräver denna fil för att aktivera enkelinloggning.Du måste importera XML-konfigurationsinformationen korrekt till din identitetsleverantör (IdP). Detta krävs för SAML-integration med din IdP och ser till att data konfigureras korrekt.

Här följer några vanliga konfigurationsproblem:

  • Certifikatet är i ett annat format än PEM.
  • Certifikatet har ett tillägg förutom .cer. .pem och .cert som inte fungerar.
  • Certifikatet är krypterad.
  • Certifikatet är i ett enkelradsformat. Flera rader krävs.
  • Certificate Revocation Verification aktiveras (stöds inte för tillfället).
  • IdP-utfärdaren i SAML är inte densamma som angavs i Admin Console (till exempel stavfel, tecken som saknas, https kontra http).

Om du har några frågor om hur du använder SAML XML Metadata-filen för att konfigurera din IdP ska du kontakta din IdP direkt för att få instruktioner, dessa varierar per IdP.

Några exempel för specifika IdP:er (inte någon omfattande lista, vilken SAML 2-kompatibel IdP som helst fungerar):

Okta: Ta manuellt informationen som krävs i XML-filen och ange den i rätt UI-fält för att konfigurera data på rätt sätt.

Ping Federate: Ladda upp XML-filen eller mata in data i rätt UI-fält.

Microsoft ADFS: Ditt certifikat måste vara i PEM-format, men standardvärdet för ADFS är DER-formatet. Du kan konvertera certifikatet med hjälp av kommandot openssl som finns tillgängligt i OS X, Windows och Linux enligt följande:

openssl x509 -in certificate.cer -out certificate.pem -outformPEM

Byt namn på certifikatet.cer när du har utfört ovanstående steg.

Se även till att rätt certifikat används om du har fler än ett. Det måste vara samma som ska underteckna begäran. (Om till exempel certifikatet ”token signing” undertecknar begäran, är det detta certifikat som ska användas.) Certificate Revocation Verification måste vara avstängt.

Om du har konfigurerat din IdP så gott du kan, försök med en eller flera av följande alternativ beroende på vilket fel du mottog.

Hämta metadatalänk

Grundläggande felsökning

Problem med enkelinloggningen orsakas ofta av väldigt grundläggande fel som är lätta att förbise. Kontrollera i synnerhet följande:

  • Användaren har tilldelats en produktkonfiguration med en rättighet.
  • Användarens förnamn, efternamn och e-postadress skickas i SAML exakt så som de visas på enterprise-instrumentpanelen och som finns i SAML med korrekt märkning.
  • Kontrollera alla poster i Admin Console och din identitetleverantör för stav- eller syntaxfel.
  • Creative Cloud-programmet har uppdaterats till den senaste versionen.
  • Användaren loggar in på rätt plats (CC-datorprogrammet, CC-program eller adobe.com)

Felet ”Ett fel har uppstått” med knappen märkt ”Försök igen”

Ett fel har uppstått - FÖRSÖK IGEN

Det här felet inträffar vanligtvis när användarautentiseringen har slutförts och Okta har vidarebefordrat autentiseringsvaret till Adobe.

I Adobe Admin Console ska du validera följande:

På fliken Identitet:

  • Kontrollera att tillhörande domän har aktiverats.

På fliken Produkter:

  • Se till att användaren sammankopplas till rätt produktsmeknamn och i den domän du hävdade vara konfigurerad som Federated ID.
  • Se till att produktsmeknamnet har rätt rättigheter tilldelade till det.

På fliken Användare:

  • Kontrollera att användarnamnet för användaren är i form av en fullständig e-postadress.

Felet ”Åtkomst nekad” vid inloggning

Felet Åtkomst nekad

Möjliga orsaker till felet:

  • Förnamn, efternamn eller e-postadress som skickas i SAML-kontrollen matchar inte den information som har angetts i Admin Console.
  • Användaren är inte sammankopplad till den rätta produkten eller produkten är inte kopplad till korrekt rättighet.
  • SAML-användarnamnet framstår som något annat än en e-postadress. Alla användare måste finnas i den domän som du hävdade var en del av installationsprocessen.
  • Din SSO-klient använder Javascript som en del av inloggningen och du försöker logga in på en klient som inte stöder Javascript (till exempel Creative Cloud Packager).

Så här löser du problemet:

  • Verifiera instrumentpanelskonfigurationen för användaren: användarinformation och produktkonfiguration.
  • Kör en SAML-spårning och verifiera att den information som skickas matchar instrumentpanelen och åtgärda sedan eventuella motsägelser.

Felet ”En annan användare är för närvarande inloggad”

Felet ”en annan användare är för närvarande inloggad” inträffar när de attribut som skickas i SAML-kontrollen inte överensstämmer med den e-postadress som användes för att starta inloggningen.

Kontrollera attributen i SAML-kontrollen och se till att de är en exakt matchning av det ID som användaren försöker använda och även en exakt matchning med Admin Console.

Felet ”Det gick inte att göra ett anrop som systemprincipen” eller ”Skapande av användare misslyckades”

Felet ”Det gick inte att göra ett anrop som systemprincipen” (följt av en slumpmässig kod) eller ”Skapande av användare misslyckades” indikerar ett problem med SAML-attributen.Se till att attributnamnen har rätt skiftläge (skiftlägeskänsligt, namngivning): förnamn, efternamn, e-post. Om du till exempel har attributet ”e-post” i stället för ”E-post” kan detta orsaka dessa fel.

Dessa fel kan också inträffa om det SAML-kontrollen inte innehåller användarens e-postadress i elementet Ämne > NameId (när du använder den SAML-spårning bör det ha formatet e-postadress och den faktiska e-posten som text som värde).  

Om du behöver hjälp från Adobe Support kan du inkludera en SAML-spårning.

 

Felet ”Utfärdaren i SAML-responsen matchar inte utfärdaren som är konfigurerad för identitetleverantören”

IDP-utfärdaren i SAML-kontrollen är annorlunda än vad som har konfigurerats i inkommande SAML. Sök efter stavfel (till exempel http kontra https). När du kontrollerar IDP-utfärdaresträngen med kundens SAML-system söker du efter en EXAKT matchning av strängen som de har tillhandahöll. Detta problem uppstår ibland eftersom ett snedstreck saknas i slutet.

Om du behöver hjälp med det här felet, ange en SAML-spårning och de värden du angav på Adobe-instrumentpanelen.

Felet ”Den digitala signaturen i SAML-svaret matchar inte identitetleverantörens certifikat”

Certifikatfilen är sannolik felaktig och behöver laddas upp på nytt. Problemet inträffar vanligtvis när en ändring har gjorts och admin refererar till fel cert-fil.Även kontrolleraformattyp (måste vara PEM-formatet för ADFS).

Felmeddelandet ”Aktuell tid är före tidsintervallet som anges i kontrollvillkoret”

Windows:

Antingen får du korrigera systemklockan eller justera skevningsvärdet för tiden.

Inställning av systemtid:

Kontrollera systemklockan med detta kommando:

w32tm /query /status

Du kan korrigera systemklockan på Windows Server med följande kommando:

w32tm /resync

Om systemklockan är inställd på rätt sätt kanske du måste skapa toleransen för en skillnad mellan IdP:en och systemet som är autentiserande.

Skevning för klocka

Börja med att ställa in det tillåtna skevningsvärdet till 2 minuter. Kontrollera om du kan ansluta och antingen öka eller minska sedan värdet, beroende på resultatet. Hitta mer information på Microsofts kunskapsdatabas

Sammanfattningsvis: från Powershell kan du köra följande kommandon:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #Bara för att se vilka värden det ursprungligen var
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Ställ in skevningen till 2 minuter

där ”urn:party:sso” är en av identifierarna för din förlitande part

OBS: Du kan användaGet-ADFSRelyingPartyTrust cmdlet utan parametrar för att få alla förlitande parttrustobjekt.

UNIX-baserade system:

Se till att systemklockan är inställd på rätt sätt, till exempel med följande kommando:

ntpdate -u pool.ntp.org

Mottagaren som angavs i SubjectConfirmationen matchade inte vårt enhets-ID för tjänsteleverantörer

Kontrollera attributen eftersom att de måste matcha följande fall exakt: förnamn, efternamn, e-post. Det här felmeddelandet kan betyda ett av attributen har fel skiftläge, t.ex. ”e-post” i stället för ”E-post”. Kontrollera även mottagarvärdet, det ska hänvisa till ACS-strängen.

ACS-sträng

Fel 401, ej auktoriserad användarinformation

Det här felet inträffar när programmet inte stöder extern inloggning och måste vara inloggat på som ett Adobe ID. Framemaker, RoboHelp och Captivate är exempel på program med detta krav.

Felet ”Inkommande SAML-inloggning misslyckades med meddelandet: SAML-responsen innehöll inga kontroller”

Kontrollera arbetsflödet för inloggningen. Om du har tillgång till inloggningssidan på en annan dator eller i nätverket men inte internt kan det bero på en blockagentsträng. Kör även en SAML-spårning och bekräfta att förnamn, efternamn och användarnamn finns i SAML-ämnet som en korrekt formaterad e-postadress.

Fel 400, ogiltig begäran / Felet ”Statusen för SAML-begäran lyckades inte” / Validering av SAML-certifiering misslyckades

Fel 400, ogiltig begäran

Verifiera att korrekt SAML-kontroll skickas:

  • Validera att identitetleverantören skickar (skiftlägeskänsliga) följande attribut i SAML-kontrollen: förnamn, efternamn, e-post. Om dessa attribut inte är konfigurerade i IdP:en som ska skickas över som en del av den SAML 2.0 Connector-konfigurationen kommer inte autentiseringen att fungera.
  • Du har inget NameID-element i ämnet. Validera att ämneselementet innehåller ett NameId-element. Det måste vara samma som e-postattributet som ska vara e-postadressen för den användare som du vill autentisera.
  • Stavfel, särskilt sådana som är lätta att förbise som https kontra http.
  • Kontrollera att rätt certifikatet angavs. IDP:er måste konfigureras för att använda den okomprimerade SAML-begäran/responsen. Okta Inbound SAML Protocol fungerar bara med de okomprimerade inställningarna (inte komprimerade inställningar).

Ett verktyg som SAML Tracer för Firefox kan hjälpa till att packa upp kontrollen och att visa upp den för undersökning. Om du behöver hjälp från Adobe Support kommer de att fråga efter den här filen. 

Följande arbetsexempel kan hjälpa dig att formatera din SAML-kontroll ordentligt:

Hämta

Med Microsoft ADFS:

  1. Varje Active Directory-konto måste ha ett fält för e-postadressen listad i Active Directory för att kunna logga in (händelseloggen: SAML-responsen har inte NameId i kontrollen). Kolla in det här först.
  2. Gå till instrumentpanelen
  3. Klicka på fliken Identitet och domänen.
  4. Klicka på Redigera konfiguration.
  5. Lokalisera IDP-bindning. Växla till HTTP-POST och spara sedan. 
  6. Testa inloggningsupplevelsen på nytt.
  7. Om den fungerar men du föredrar den tidigare inställningen, växla bara tillbaka till HTTP-REDIRECT och ladda upp metadata i ADFS på nytt.

Med andra IdP:er:

  1. Råkar du ut för fel 400 innebär det att en lyckad inloggning avvisades av din IdP.
  2. Kontrollera dina IdP-loggar för att hitta källan till felet.
  3. Rätta till problemet och försök igen.

Konfigurering av Microsoft ADFS

Se steg-för-steg-guiden till Konfigurering av Microsoft ADFS.

Om en Mac-klient har ett tomt fönster i Creative Cloud ska du kontrollera att användaragenten ”Creative Cloud” är tillförlitlig.

Konfigurering av Microsoft Azure

Se steg-för-steg-guiden till Konfigurering av Microsoft Azure.

Konfigurering av OneLogin

Se steg-för-steg-guiden till Konfigurering av OneLogin.

Konfigurering av Okta

Se steg-för-steg-guiden till Konfigurering av Okta.

Denna produkt är licensierad enligt en Creative Commons Erkännande-Ickekommersiell-Dela Lika 3.0 Unported-licens  Twitter™- och Facebook-inlägg omfattas inte av villkoren i Creative Commons-licensen.

Juridiska meddelanden   |   Onlinesekretesspolicy