Pregled

Pri poskusu vpisa v izdelke, storitve ali mobilne aplikacije Adobe s Federated ID (SSO) se pojavi eno od naslednjih sporočil o napakah.

Po uspešni konfiguraciji SSO s Skrbniško konzolo Adobe poskrbite, da boste kliknili Prenesi metapodatke in shranili datoteko metapodatkov SAML XML na svoj računalnik. Vaš ponudnik identitete potrebuje to datoteko, da bi omogočil enotno prijavo. Podatke o konfiguraciji XML morate pravilno uvoziti v svoj ponudnik identitete (IdP). To je potrebno za integracijo SAML z vašim IdP in zagotavlja, da bodo podatki konfigurirani pravilno.

V nadaljevanju je več običajnih konfiguracijskih težav:

  • Certifikat je v obliki, ki ni PEM.
  • Certifikat ima pripono, ki ni: .cer. .pem in .cert ne deluje.
  • Certifikat je šifriran.
  • Certifikat ima obliko enojne vrstice. Potreben je večvrstični zapis.
  • Preklic veljavnosti preverjanja certifikata je vklopljen (trenutno ni podprto).
  • Izdajatelj IdP v SAML ni enak kot tisti, ki je bil določen v skrbniški konzoli (na primer napaka pri črkovanju, manjkajoče znake, https v primerjavi s http).

Če imate vprašanja glede uporabe datoteke z metapodatki SAML XML za konfiguracijo svojega IdP, stopite v neposreden stik s svojim IdP za navodila, ki se spreminjajo glede na IdP.

Nekateri primeri specifičnih IdP-jev (seznam ni izčrpen – deluje vsak IdP, ki je združljiv s SAML 2):

Okta: podatke konfigurirajte pravilno z ročnim zajemanjem potrebnih informacij iz datoteke XML in njihovim vnašanjem v polja uporabniškega vmesnika.

Ping Federate: prenesite datoteko XML ali vnesite podatke v ustrezna polja uporabniškega vmesnika.

Microsoft ADFS: vaš certifikat mora biti v obliki PEM, vendar pa je za ADFS privzeta oblika DER. Certifikat lahko pretvorite s pomočjo ukaza openssl, ki je na voljo v sistemih OS X, Windows ali Linux, kot je opisano v nadaljevanju:

openssl x509 -in certificate.cer -out certificate.pem -outform PEM

Po izvedbi zgornjega ukaza preimenujte certifikat .cer.

Poleg tega zagotovite, da je v uporabi ustrezen certifikat, če imate več kot enega; certifikat mora biti tisti, s katerim boste podpisovali zahteve. (Na primer, če »žeton certifikata s podpisom storitev« podpisuje zahteve, je to certifikat, ki ga morate uporabiti.) Preverjanje ukinjenih pooblastil mora biti izklopljeno.

Če ste svoj IdP konfigurirali tako, kot najbolje znate, morate glede na napako, ki se je prikazala, izvesti enega ali več od naslednjih postopkov.

Povezava za prenos metapodatkov

Osnovno odpravljanje težav

Težave z enotno prijavo pogosto povzročijo zelo osnovne napake, ki jih je enostavno spregledati. Še posebno morate preveriti naslednje:

  • Uporabnik je dodeljen konfiguraciji izdelka s koristmi.
  • Uporabnikovo ime, priimek in e-poštni naslov se pošljejo v SAML prav tako, kot se pojavijo na nadzorni plošči podjetja in so prisotni v SAML s pravilno oznako.
  • Pri vseh vnosih v skrbniško konzolo in ponudnika identitete preverite, ali ste naredili napake pri črkovanju oziroma sintaksi.
  • Namizni program Creative Cloud je bil posodobljen na zadnjo različico.
  • Uporabnik se prijavlja na pravo mesto (namizni program CC, program CC ali adobe.com)

Napaka »Prišlo je do napake« z gumbom »Poskusite znova«

Prišlo je do napake – POSKUSITE ZNOVA

Do te napake običajno pride po uspešnem preverjanju pristnosti uporabnika in po uspešnem posredovanju odziva preverjanja pristnosti od Okta do Adobe.

V skrbniški konzoli Adobe potrdite naslednje:

Na zavihku Identiteta:

  • Zagotovite, da je povezana domena aktivirana.

Na zavihku Izdelki:

  • Zagotovite, da je uporabnik povezan z ustreznim vzdevkom izdelka in v domeni, za katero trdite, da ste jo konfigurirali kot Federated ID.
  • Zagotovite, da ima vzdevek izdelka dodeljene pravilne koristi.

Na zavihku Uporabniki:

  • Zagotovite, da je uporabniško ime uporabnika v obliki popolnega e-poštnega naslova.

Napaka »Zavrnjen dostop« pri prijavljanju

Napaka zavrnjenega dostopa

Možni vzroki za to napako:

  • Ime, priimek ali e-poštni naslov, ki se pošilja v izjavi SAML, ne ustreza informacijam, ki so bile vnesene v skrbniški konzoli.
  • Uporabnik ni povezan s pravim izdelkom ali izdelek ni povezan z ustrezno koristjo.
  • Dohodno uporabniško ime SAML se zdi podobno nečemu drugemu kot e-poštnemu naslovu. Vsi uporabniki morajo biti v domeni, ki ste jo zahtevali kot del svojega postopka nastavitve.
  • Vaš odjemalec SSO uporablja Javascript kot del postopka prijave, vi pa se poskušate prijaviti v odjemalca, ki ne podpira Javascript (kot je Creative Cloud Packager).

Rešitev:

  • Preverite konfiguracijo nadzorne plošče za uporabnika: uporabniške informacije in konfiguracija izdelka.
  • Uporabite sledenje SAML in preverite, ali poslane informacije ustrezajo tistim na nadzorni plošči, nato pa popravite vse neskladnosti.

Napaka »Trenutno je prijavljen drug uporabnik«

Do napake »Trenutno je prijavljen drug uporabnik« pride, kadar poslani atributi v izjavi SAML ne ustrezajo e-poštnemu naslovu, ki je bil uporabljen za začetek postopka prijave.

Preverite atribute v izjavi SAML in poskrbite, da bodo popolnoma enaki ID uporabnika, ki jih poskuša uporabiti, in skrbniški konzoli.

Napaka »Klic kot sistemski princip ni uspel« ali »Ustvarjanje uporabnika ni uspelo«

Napaka »klic kot sistemski princip ni uspel« ali »Ustvarjanje uporabnika ni uspelo« (sledi ji naključna šifra) ali »ustvarjanje uporabnika ni uspelo« kaže na težavo z atributi SAML. Preverite, ali je velikost pisave imen atributov pravilna (občutljivost na velike ali male črke, imenovanje): FirstName, LastName, Email (ime, priimek, e-pošta). Če se atribut tako konča kot »email« namesto »Email«, se lahko pojavijo omenjene napake.

Do teh napak lahko pride tudi, če izjava SAML ne vsebuje e-pošte uporabnika v Predmet > Element NameId (če uporabljate sledilnik SAML, mora imeti obliko emailAddress in dejanski e-poštni naslov kot besedilno vrednost).  

Če potrebujete pomoč oddelka za podporo Adobe, priložite tudi sledilnik SAML.

 

Napaka »Izdajatelj v odzivu SAML ne ustreza izdajatelju, konfiguriranem za ponudnika identitete«

Izdajatelj IDP v isti izjavi SAML se razlikuje od tistega, kar je bilo konfigurirano v dohodnem SAML. Poiščite tipografske napake (kot http v primerjavi s https). Pri preverjanju niza izdajatelja IDP s strankinim sistemom SAML, je treba iskati NATANČNO enaki niz, kot je tisti, ki so ga priskrbeli. Do te težave včasih pride, ker na koncu manjka poševnica.

Če potrebujete pomoč pri tej napaki, zagotovite sled SAML in vrednosti, ki ste jih vnesli v nadzorno ploščo Adobe.

Napaka »Digitalni podpis v odzivu SAML nima preverjene veljavnosti s certifikatom ponudnika identitete«

Datoteka certifikata je verjetno nepravilna in jo je treba naložiti še enkrat. Do te težave pride običajno po spremembi in ko skrbnik kot sklic uporabi nepravilno datoteko certifikata. Preverite tudi vrsto oblike (ta mora biti za ADFS oblika PEM).

Napaka »Trenutni čas je pred časovnim razponom, določenim v pogojih izjave«

Windows:

Popravite sistemsko uro ali pa prilagodite vrednost zamika časa.

Nastavitev sistemskega časa:

Sistemsko uro preverite s tem ukazom:

w32tm /query /status

Sistemsko uro v strežniku Windows lahko popravite z naslednjim ukazom:

w32tm /resync

Če je sistemska ura nastavljena pravilno, boste morda morali ustvariti toleranco zaradi razlike med IdP in sistema, ki izvaja preverjanje pristnosti.

Zamik ure

Začnite s tem, da nastavite dovoljeno vrednost zamika na 2 minuti. Preverite, ali se lahko povežete, nato pa povečajte ali zmanjšajte vrednost glede na rezultat. Vse podrobnosti so v Zbirki znanja Microsoft

Povedano v povzetku, v Powershell lahko izvedete naslednje ukaze:

Get-ADFSRelyingPartyTrust –identifier “urn:party:sso”  #S tem si ogledate, kakšne so bile originalne vrednosti
Set-ADFSRelyingPartyTrust –TargetIdentifier “urn:party:sso” –NotBeforeSkew 2  #Nastavite zamik na 2 minuti

kjer je "urn:party:sso" eden od identifikatorjev vaše zanesljive stranke

Opomba: če želite pridobiti vse predmete zaupanja zanesljivih strank, lahko uporabite Get-ADFSRelyingPartyTrust cmdlet brez parametrov.

Sistemi, ki temeljijo na UNIX-u:

Poskrbite, da bo sistemska ura nastavljena pravilno, na primer, z naslednjim ukazom:

ntpdate -u pool.ntp.org

Prejemnik, ki je določen v SubjectConfirmation, ne ustreza naši ID entitete ponudnika storitev

Preverite atribute, ker morajo biti popolnoma enaki, kot v naslednjem primeru: FirstName, LastName, Email. To sporočilo o napaki lahko pomeni, da ima en atribut ali več napačne velike ali male črke, kot je »email« namesto »Email«.  Poleg tega preverite vrednost prejemnika – v sklicu mora biti naveden niz ACS.

Niz ACS

Napaka 401 nepooblaščene poverilnice

Do te napake pride, če program ne podpira prijave Federated in se je treba prijaviti z ID za Adobe. Framemaker, RoboHelp in Captivate so primeri programov s to zahtevo.

Napaka »Dohodna SAML prijava ni uspela s sporočilom: odziv SAML ni vseboval izjav«

Preverite potek dela prijave.  Če lahko dostopite do prijavne strani na drugi napravi ali omrežju, vendar ne interno, je težava lahko v nizu agenta za blokiranje.  Poleg tega izvedite sledenje SAML in potrdite, da so First Name, Last Name in Username in pravilno formatiran e-poštni naslov v zadevi SAML.

Napaka 400 slaba zahteva / Napaka »Stanje zahteve SAML ni bila uspešna« / Preverjanje veljavnosti certifikata SAML ni uspela

Napaka 400 slaba zahteva

Potrdite, da se pošilja pravo izjavo SAML:

  • Potrdite, da ponudnik identitete pošilja ustrezne atribute (občutljivo na male in velike črke) v izjavi SAML: FirstName, LastName, Email. Če ti atributi niso konfigurirani v IdP za pošiljanje kot del konfiguracije SAML 2.0 Connector, preverjanje pristnosti ne bo uspelo.
  • V zadevi ni elementa NameID. Preverite, da element Subject vsebuje element NameId. Enak mora biti atributu Email, ki mora biti e-poštni naslov uporabnika, katerega veljavnost želite potrditi.
  • Napake v črkovanju, še posebej tiste, ki se jih enostavno spregleda, kot https v primerjavi s http.
  • Potrdite, da je bil zagotovljen ustrezen certifikat. IDP-ji morajo biti konfigurirani za uporabo nekompresiranih zahtev/odzivov SAML. Protokol Okta Inbound SAML Protocol deluje samo z nastavitvami, ki niso stisnjeni (nestisnjene nastavitve).

Orodje, kot je SAML Tracer za Firefox lahko pomaga pri raztezanju izjave in prikaza za pregled. Če potrebujete pomoč oddelka za podporo Adobe, se vas bo vprašalo po tej datoteki.

Pri pravilnem formatiranju vaše izjave SAML vam lahko pomaga naslednji delovni primer:

Prenos

Z Microsoftovim ADFS:

  1. Vsak račun Active Directory mora imeti e-poštni naslov, ki je naveden v aktivnem imeniku, da bi se lahko izvedlo uspešno prijavo (dnevnik primerov: odziv SAML nima NameId v izjavi). Najprej poskusite s tem.
  2. Dostopite do nadzorne plošče.
  3. Kliknite zavihek Identiteta in domeno.
  4. Kliknite Uredi konfiguracijo.
  5. Poiščite Vezanje IDP. Preklopite na HTTP-POST in izvedite shranjevanje. 
  6. Še enkrat preverite, kako poteka prijava.
  7. Če deluje, vendar so vam bolj všeč prejšnje nastavitve, enostavno preklopite nazaj na HTTP-REDIRECT in ponovno naložite metapodatke v ADFS.

Delo z drugimi IdP-ji:

  1. Če naletite na napako 400, to pomeni, da je bila uspešna prijava zavrnjena s strani vašega IdP.
  2. V svojih dnevnikih IdP preverite, kje je vir napak.
  3. Odpravite težavo in poskusite znova.

Konfiguracija Microsoftovega ADFS

Oglejte si navodila v korakih za Konfiguracijo Microsoftovega ADFS.

Če ima odjemalec Mac prazno okno v Creative Cloud, poskrbite, da je uporabniški agent »Creative Cloud« zaupanja vreden.

Konfiguracija Microsoftovega Azure

Oglejte si navodila v korakih za Konfiguracijo Microsoftovega Azure.

Konfiguracija OneLogin

Oglejte si navodila v korakih za Konfiguracija OneLogin.

Konfiguracija Okta

Oglejte si navodila v korakih za Konfiguracija Okta.

Za ta izdelek je bila izdana neprenosljiva licenca za priznanje avtorstva, nekomercialno uporabo in skupno rabo pod enakimi pogoji 3.0  Objav v storitvah Twitter™ in Facebook ne urejajo pogoji pogodbe Creative Commons.

Pravna obvestila   |   Pravilnik o zasebnosti v spletu